|
NTP放大是一种类型的拒绝服务的分布式(分布式拒绝服务)攻击中,攻击者利用公开访问的网络时间协议(NTP)服务器压倒目标与用户数据 ​​报协议(UDP)通信。 网络时间协议(NTP)是最古老的网络协议中的一个,并用于通过互联网连接的机器来同步它们的时钟。除了 ​​时钟同步,老版本的NTP的支持监控服务,使管理员能够查询给定的NTP服务器的流量数。此命令,称为“monlist,”发送请求者连接到查询服务器的最后600的主机的列表。 在NTP放大攻击的最基本类型,攻击者多次发送“获得monlist”请求NTP服务器,而欺骗请求服务器的IP地址,该server.The NTP服务器发送列表到响应欺骗受害者IP地址。 这个响应是显着大于该请求时​​,放大流量直指目标服务器的量,并最终导致服务的合法请求的降低。 攻击说明NTP的扩增基本上是一种类型的反射攻击。反射攻击引发涉及从服务器到一个假冒IP地址的响应。攻击者发送一个伪造的IP地址的数据包(受害者的),服务器回复到这个地址。 Incapsula可防御NTP放大攻击:180Gbps和每秒50亿个数据包 反射攻击的危险。但他们放大时,甚至更危险。“放大”,在这种情况下,指的是引发一个服务器响应是不相称的发送的原始数据包的请求。在NTP扩增的情况下,这是指相对于原始分组的大小的“monlist”的大小。 在典型的DNS放大,查询大小来响应大小的比例为70:1。这意味着,谁控制了1机1Gbps的攻击者可以有效地指挥交通的70Gbps向目标服务器。 在一个NTP放大攻击,查询 - 到 - 响应比率之间的任何地方20:1和200:1或更高。这意味着,获得公开的NTP服务器列表(例如,通过使用工具Metasploit的一样或数据从打开NTP项目)的任何攻击者很容易产生毁灭性的高带宽,高容量的DDoS攻击。 缓解方法像其他许多DDoS攻击的威胁,缓解NTP放大攻击是具有挑战性的,因为从NTP服务器的响应是从合法的服务器显然是合法流量。 此外,DDoS流​​量的绝对数量很容易淹没即使是最有弹性的网络基础设施。其结果,减轻是通过过度配置和流量过滤的组合来实现。 Incapsula通过充分利用其全球网络擦洗,这对扩展的需求来吸收和转移多的10Gbps DDoS攻击的威胁,包括NTP放大攻击抵御DDoS的体积威胁。
Incapsula的代理地位确保了DDoS攻击流量的客户端的网络,它不能引起其目标造成任何伤害以外的过滤。
| 
帐号登录
QQ登录
微信登录
发表于 2015-7-27 08:56:26
