什么是NTP放大攻击
NTP放大攻击是种基于反射的容量耗尽分布式拒绝服务攻击。在这种攻击中,攻击者利用一种网络时间协议服务器功能,发送放大的UDP流量,使目标网络或服务器不堪重负,导致正常流量无法到达目标及其周围基础设施。所有放大攻击都利用了攻击者和目标Web资源之间的带宽成本差异。当许多请求之间的成本差异被放大时,由此产生的流量会破坏网络基础架构。通过发送小的查询导致较大响应,恶意用户可以从更少的资源中获取更多收益。
缓解NTP放大攻击的措施有以下这些:
禁用monlist:减少支持monlist命令的NTP服务器的数量:修补monlist漏洞的一种简单解决方案是禁用该命令。默认情况下,4.2.7之前的所有版本的NTP软件都容易受到攻击。通过将NTP服务器升级到4.2.7或更高版本,该命令被禁用,从而修补了该漏洞。如果无法升级,则遵循US-CERT的说明将允许服务器的管理员进行必要的更改。
配置高防IP:隐藏源站IP阻止欺骗性数据包占用资源,攻击者的僵尸网络发送的UDP请求必须具有欺骗到受害者IP地址的源IP地址,因此降低基于UDP的放大攻击的有效性的关键因素是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。因此我可以采用高防IP来作为前置IP达到抵御NTP放大攻击。DDoS高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,通过配置高防IP将攻击流量引到高防IP达到隐藏源站IP保护源站安全稳定,提升用户体验和对内容提供商的黏度。
针对地理位置的源ip进行阻断:针对业务用户的地理位置特性,在遇到UDP反射攻击时,优先从用户量最少地理位置的源IP进行封禁阻断,直到将异常地理位置的源IP请求全部封禁,使流量降至服务器可处理的范围之内,可有效减轻干扰流量;
配置Web应用程序防火墙(WAF)过滤海量攻击:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品。基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站业务的安全与可用性。