NTP放大攻击是一种基于反射的体积分布式拒绝服务(DDoS)攻击，其中攻击者利用网络时间协议(NTP)服务器功能，以便用一定数量的UDP流量压倒目标网络或服务器，使常规流量无法访问目标及其周围的基础设施。

NTP放大攻击如何工作？

所有放大攻击都利用了攻击者与目标Web资源之间的带宽成本差异。当在许多请求中放大成本差异时，由此产生的流量可能会破坏网络基础设施。通过发送导致大量响应的小查询，恶意用户可以从更少的内容获得更多。当具有在每个机器人这个倍数乘以僵尸网络进行类似的请求，攻击者是从检测既混淆和收获大大提高了攻击流量的好处。

DNS泛洪攻击与DNS放大攻击不同。与DNS泛洪不同，DNS放大攻击反映和放大不安全的DNS服务器上的流量，以隐藏攻击的起源并提高其有效性。DNS放大攻击使用带宽较小的设备向不安全的DNS服务器发出大量请求。这些设备对非常大的DNS记录提出了许多小请求，但在发出请求时，攻击者伪造的返回地址是预期受害者的地址。放大允许攻击者仅使用有限的攻击资源来获取更大的目标。

NTP放大，就像DNS放大一样，可以被认为是一个恶意的少年打电话给餐馆并说“我将拥有一切，请给我回电话并告诉我我的整个订单。”当餐厅要求时一个回叫号码，给出的号码是目标受害者的电话号码。然后，目标接收来自餐馆的电话，其中包含许多他们未请求的信息。

网络时间协议旨在允许Internet连接的设备同步其内部时钟，并在Internet体系结构中发挥重要作用。通过利用在某些NTP服务器上启用的monlist命令，攻击者能够将其初始请求流量相乘，从而产生较大的响应。默认情况下，在旧设备上启用此命令，并使用已对NTP服务器发出的请求的最后600个源IP地址进行响应。来自其内存中具有600个地址的服务器的monlist请求将比初始请求大206倍。这意味着拥有1 GB Internet流量的攻击者可以提供200 GB以上的攻击 - 导致攻击流量大幅增加。

NTP放大攻击可以分为四个步骤：

攻击者使用僵尸网络将带有欺骗IP地址的UDP数据包发送到启用了monlist命令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。每个UDP数据包使用其monlist命令向NTP服务器发出请求，从而产生大量响应。然后，服务器使用结果数据响应欺骗地址。目标的IP地址接收响应，周围的网络基础设施因流量泛滥而变得不堪重负，导致拒绝服务。

由于攻击流量看起来像来自有效服务器的合法流量，因此很难在不阻止真正NTP服务器合法活动的情况下减轻此类攻击流量。由于UDP数据包不需要握手，因此NTP服务器将向目标服务器发送大量响应，而不验证请求是否可信。这些事实与内置命令相结合，默认情况下发送大量响应，使NTP服务器成为DDoS放大攻击的极好反射源。

如何减轻NTP放大攻击？

对于运营网站或服务的个人或公司，缓解选项是有限的。这是因为个人的服务器虽然可能是目标，但却不会感受到体积攻击的主要影响。由于产生了大量流量，服务器周围的基础设施会产生影响。Internet服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入流量而不会变得不堪重负。因此，ISP可能将所有流量黑洞到目标受害者的IP地址，保护自己并使目标站点脱机。除Cloudflare DDoS保护等非现场保护服务外，缓解策略主要是预防性互联网基础设施解决方案。

禁用monlist - 减少支持monlist命令的NTP服务器的数量。

修补monlist漏洞的简单解决方案是禁用该命令。默认情况下，版本4.2.7之前的所有版本的NTP软件都是易受攻击的。通过将NTP服务器升级到4.2.7或更高版本，该命令将被禁用，从而修补漏洞。如果无法升级，则按照US-CERT说明将允许服务器的管理员进行必要的更改。

源IP验证 - 停止欺骗性数据包离开网络。

由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址，因此降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。如果从网络内部发送一个数据包，其源地址使其看起来像是在网络外部发起的，那么它可能是一个欺骗性数据包，可以被丢弃。Cloudflare强烈建议所有提供商实施入口过滤，有时会联系到不知情地参与DDoS攻击(违反BCP38)并帮助他们实现漏洞的ISP。

在NTP服务器上禁用monlist并在目前允许IP欺骗的网络上实现入口过滤的组合是在到达其预期网络之前阻止此类攻击的有效方法。

Cloudflare如何减轻NTP放大攻击？

通过正确配置的防火墙和足够的网络容量(除非你的大小与Cloudflare一样，这并不容易实现)，阻止NTP放大攻击等反射攻击是微不足道的。虽然攻击将针对单个IP地址，我们的Anycast网络将所有攻击流量分散到不再具有破坏性的点。Cloudflare能够利用我们的规模优势在多个数据中心内分配攻击的重量，平衡负载，从而不会中断服务，攻击永远不会超过目标服务器的基础架构。在最近六个月的窗口中，我们的DDoS缓解系统“Gatebot”检测到6,329次简单反射攻击(每40分钟一次)，网络成功地减轻了所有这些攻击。