分享到:
发表于 2024-09-19 02:50:34 楼主 | |
NTP 放大攻击是一种基于反射的容量耗尽分布式拒绝服务(DDoS)攻击。在这种攻击中,攻击者利用一种网络时间协议 (NTP) 服务器功能,发送放大的 UDP 流量,使目标网络或服务器不堪重负,导致正常流量无法到达目标及其周围基础设施。 NTP 放大攻击的工作原理 所有放大攻击都利用攻击者和目标 Web 资源之间的带宽消耗差异。当消耗差异经过多次请求而被放大时,所产生的流量可导致网络基础设施中断。通过发送小型请求来导致大规模响应,恶意用户就能达到四两拨千斤的效果。当通过某个僵尸网络中的每个机器人发出类似请求来使这种放大效果倍增时,攻击者既能躲避检测,又能收获攻击流量大增的好处。 DNS 洪水攻击不同于 DNS 放大攻击。与 DNS 洪水攻击不同,DNS 放大攻击反射并放大不安全 DNS 服务器的流量,以便隐藏攻击的源头并提高攻击的有效性。DNS 放大攻击使用连接带宽较小的设备向不安全的 DNS 服务器发送无数请求。这些设备对非常大的 DNS 记录发出小型请求,但在发出请求时,攻击者伪造返回地址为目标受害者。这种放大效果让攻击者能借助有限的攻击资源来破坏较大的目标。 NTP 放大攻击与 DNS 放大攻击非常相似,就好比是一个心怀恶意的青少年打电话给一家餐厅说“我要菜单上的东西每样来一份,请给我回电话并告诉我整个订单的信息”。当餐厅询问回叫号码时,他却给出目标受害者的号码。然后,目标会收到来自餐厅的呼叫,接到他们未请求的大量信息。 网络时间协议(NTP)旨在允许连接到互联网的设备同步其内部时钟,在互联网架构中发挥重要作用。通过利用某些 NTP 服务器启用的 monlist 命令,攻击者能够成倍放大其初始请求流量,导致大型响应。这个命令在一些较老的设备上默认启用,返回发送到 NTP 服务器的请求中的最后 600 个源 IP 地址。针对服务器内存中 600 个地址的 monlist 请求将比初始请求大 206 倍。这意味着,攻击者使用 1 GB 互联网流量就能发动一次超过 200 GB 的攻击——所产生的攻击流量大幅增加。 NTP 放大攻击可分为四个步骤: 攻击者使用僵尸网络将带有伪造 IP 地址的 UDP 包发送到启用了monlist 命令的 NTP 服务器。每个包的伪造 IP 地址都指向受害者的真实 IP 地址。 每个 UDP 数据包使用其 monlist 命令向 NTP 服务器发出请求,导致较大的响应。 然后,服务器用结果数据响应欺骗性的地址。 目标的 IP 地址接收响应,其周边的网络基础设施被大量流量淹没,从而导致拒绝服务。 |
|
楼主热贴
个性签名:无
|