2014年2月11日，CloudFlare透漏其客戶遭受400G的NTP Flood攻擊，刷新歷史DDoS攻擊的流量峰值外，使得NTP Flood攻擊備受業(yè)界關(guān)注。其實(shí)自從黑客組織DERP使用了NTP發(fā)起反射攻擊后，2014新年內(nèi)的第一周，NTP反射攻擊占了DoS攻擊流量的69%，整個(gè)NTP攻擊的平均大小為約每秒7.3G bps，比2013年12月觀察到的平均攻擊流量高3倍。

[[108854]]

下面讓我們看看NTP 服務(wù)器的原理。

NTP協(xié)議(network time protocol)是標(biāo)準(zhǔn)的網(wǎng)絡(luò)時(shí)間同步協(xié)議，它采用層次化時(shí)間分布模型。網(wǎng)絡(luò)體系結(jié)構(gòu)主要包括主時(shí)間服務(wù)器、從時(shí)間服務(wù)器和客戶機(jī)。主時(shí)間服務(wù)器位于根節(jié)點(diǎn)，負(fù)責(zé)與高精度時(shí)間源進(jìn)行同步，為其他節(jié)點(diǎn)提供時(shí)間服務(wù);各客戶端由從時(shí)間服務(wù)器經(jīng)主服務(wù)器獲得時(shí)間同步。

以一個(gè)大企業(yè)網(wǎng)為例，企業(yè)搭建自身的時(shí)間服務(wù)器，作為從時(shí)間服務(wù)器，負(fù)責(zé)從主時(shí)間服務(wù)器同步時(shí)間，然后再負(fù)責(zé)將時(shí)間同步給企業(yè)的各業(yè)務(wù)系統(tǒng)。為確保時(shí)間同步延遲小，每個(gè)國家按地域搭建為數(shù)眾多的時(shí)間服務(wù)器，作為主時(shí)間服務(wù)器,滿足互聯(lián)網(wǎng)各業(yè)務(wù)系統(tǒng)的時(shí)間同步需求。

隨著網(wǎng)絡(luò)信息化的高速發(fā)展，包括金融業(yè)，電信業(yè)，工業(yè)，鐵路運(yùn)輸，航空運(yùn)輸業(yè)等各行各業(yè)對于以太網(wǎng)技術(shù)的依賴日益增強(qiáng)。各式各樣的應(yīng)用系統(tǒng)由不同的服務(wù)器組成，如電子商務(wù)網(wǎng)站由WEB服務(wù)器、認(rèn)證服務(wù)器和數(shù)據(jù)庫服務(wù)器組成，WEB應(yīng)用要正常運(yùn)行，必須實(shí)時(shí)確保WEB服務(wù)器、認(rèn)證服務(wù)器和數(shù)據(jù)庫服務(wù)器之間的時(shí)鐘同步。再比如分布式的云計(jì)算系統(tǒng)、實(shí)時(shí)備份系統(tǒng)、計(jì)費(fèi)系統(tǒng)、網(wǎng)絡(luò)的安全認(rèn)證系統(tǒng)甚至基礎(chǔ)的網(wǎng)絡(luò)管理，都強(qiáng)依賴于精確的時(shí)間同步。

神秘的NTP Flood為什么如此受黑客的青睞呢?

NTP協(xié)議是基于UDP協(xié)議的服務(wù)器/客戶端模型，由于UDP協(xié)議的無連接性(不像TCP具有三次握手過程)具有天然的不安全性缺陷。黑客正式利用NTP服務(wù)器的不安全性漏洞發(fā)起DDoS攻擊。只需2步，即可輕松實(shí)現(xiàn)四兩撥千斤的攻擊效果。

第一步：尋找目標(biāo)，包括攻擊對象和網(wǎng)絡(luò)上的NTP服務(wù)器資源。

第二步：偽造要“攻擊對象”的IP地址向NTP服務(wù)器發(fā)送請求時(shí)鐘同步請求報(bào)文，為了增加攻擊強(qiáng)度，發(fā)送的請求報(bào)文為Monlist請求報(bào)文，威力則更猛。NTP協(xié)議包含一個(gè)monlist功能，用于監(jiān)控 NTP 服務(wù)器，NTP 服務(wù)器響應(yīng)monlist指令后就會返回與其進(jìn)行過時(shí)間同步的最近 600 個(gè)客戶端的IP地址。響應(yīng)包按照每6個(gè)IP進(jìn)行分割，最多一個(gè)NTP monlist請求會形成100 個(gè)響應(yīng)包,具有強(qiáng)的放大的能力。實(shí)驗(yàn)室模擬測試顯示,當(dāng)請求包的大小為234字節(jié)時(shí)，每個(gè)響應(yīng)包為 482 字節(jié)，單純按照這個(gè)數(shù)據(jù),計(jì)算出放大的倍數(shù)是：482*100/234 = 206倍!

哇哈哈~~~攻擊效果很明顯，被攻擊目標(biāo)很快出現(xiàn)拒絕服務(wù)現(xiàn)象，更有甚者整個(gè)網(wǎng)絡(luò)擁塞。

自從黑客組織DERP發(fā)現(xiàn)NTP發(fā)起反射攻擊效果后，便在在2013年12月底上演了針對包括EA、暴雪等大型游戲公司的一系列DDoS攻擊事件中，使用了NTP反射攻擊?？雌鹕衩氐腘TP反射攻擊，其實(shí)并不神秘，與DNS反射攻擊具有異曲同工之效，都是利用UDP協(xié)議的不安全漏洞，利用開放的服務(wù)器發(fā)起的，不同的是NTP威脅性更強(qiáng)，因?yàn)槊總€(gè)數(shù)據(jù)中心服務(wù)器都需要時(shí)鐘同步，無法通過協(xié)議、端口的過濾來進(jìn)行防護(hù)。

總結(jié)起來反射類攻擊最大的特點(diǎn)，就是以小博大，四兩撥千斤，利用各種協(xié)議漏洞來放大攻擊效果，但萬變不離其宗，只要捏住攻擊的“七寸”，就能從根本上遏制攻擊。而反射攻擊的“七寸”就是它的流量異常。這就需要防護(hù)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)流量的異常，而發(fā)現(xiàn)異常還遠(yuǎn)遠(yuǎn)不夠，防護(hù)系統(tǒng)還要有足夠的性能來抵御這種簡單粗暴攻擊，要知道現(xiàn)在的攻擊動輒都是100G起了，防護(hù)系統(tǒng)要是沒個(gè)幾百G的防護(hù)能力，就是發(fā)現(xiàn)了，也只能干瞪眼。

華為Anti-DDoS系統(tǒng)會主動建立數(shù)十種多種維度流量模型，第一時(shí)間發(fā)現(xiàn)流量異常，同時(shí)高達(dá)數(shù)百G的防護(hù)能力，足以應(yīng)對已知的最大流量攻擊。