什么是NTP服务?

网络时间协议NTP(Network Time Protocol)是用于互联网中时间同步的标准互联网协议。NTP服务器通过NTP服务向网络上的计算机或其他设备提供标准的授时服务,以保证这些服务系统的时钟能够同步。通常NTP服务使用UDP 123端口提供标准服务。

什么是NTP服务放大攻击?

标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,该功能主要用于监控 NTP 服务器的服务状况,当用户端向NTP服务提交monlist查询时,NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。由于NTP服务使用UDP协议,攻击者可以伪造源发地址向NTP服务进行monlist查询,这将导致NTP服务器向被伪造的目标发送大量的UDP数据包,理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

如何查看是否遭受NTP放大攻击?

如果网络上检测到大流量的UDP 123端口的数据,就可以确认正在遭受此类攻击。

如何防范NTP放大攻击?

1、linux系统升级办法:

  • 升级服务程序版本

将系统中的NTP服务升级到 ntpd 4.2.7p26 或之后的版本,因为 ntpd 4.2.7p26 版本后,服务默认是关闭monlist查询功能的。

  • 关闭服务的monlist查询功能:

首先查询问题主机的REQ_MON_GETLIST和REQ_MON_GETLIST_1请求是否可用。具体操作方法:

ntpq -c rv<localhost/remotehost>

ntpdc -c sysinfo<localhost/remotehost>

ntpdc -n -c monlist<localhost/remotehost>

如果上述功能可用,可尝试通过修改ntp.conf文件解决问题,具体操作建议是在上述配置文件中增加下面的配置:

IPV4: restrict default kod nomodify notrap nopeer noquery

IPv6: restrict -6 default kod nomodify notrap nopeer noquery

/*允许发起时间同步的IP,与本服务器进行时间同步,但是不允许修改ntp服务信息,也不允许查询服务器的状态信息(如monlist)*/

另外,还可以配置限制访问命令,如:

restrict default noquery /*允许普通的请求者进行时间同步,但是不允许查询ntp服务信息*/

修改并保存配置文件之后,请重启ntpd服务。

2、windows系统的解决办法:

在ntp.conf配置文件中增加(或修改)“disable monitor”选项,可以关闭现有NTP服务的monlist功能。修改并保存配置文件之后,请重启ntpd服务。

3、网络防范:

在攻击发生时,通过网络设备的ACL丢弃UDP 123端口的数据包。

参考信息:

[1] http://www.rfc-editor.org/rfc/rfc5905.txt

[2] http://cve.scap.org.cn/CVE-2013-5211.html

[3] http://www.kb.cert.org/vuls/id/348126

[4] http://support.ntp.org/bin/view/Support/AccessRestrictions