什么是NTP服务?
网络时间协议(Network Time Protocol)
- 用于本地系统时间与当地互联网地区标准时间同步的协议
- 通过互联网向其他计算机提供同步时间的服务,保证用户计算机系统时间为标准时间
- 通常NTP服务器使用的为UDP协议,使用的端口为123端口
既然是提供服务,为什么会造成攻击?
NTP分布式拒绝服务攻击原理
*我们家庭网速通常为100M(兆)-200M(兆)的宽带 *
下行速度大概在(20-40M左右)
请求一次NTP时间同步服务也只需要96Bit(比特位),大概是6个汉字的(12B)
因此一次NTP服务请求,返回的数据包对宽带影响可以忽略不计
但如果成千上万次的请求,例如一个G的数据包大概需要10995116277次的请求就可以实现Ntp攻击
不去请求就不会被攻击吗?
并不是,可以通过伪造手段来欺骗流量造成大量数据的攻击
如下图所示
1.黑客首先扫描全世界的开放了“123”端口的服务器列表(1.1.1.1-255.255.255.255)
2.过滤优质NTP服务器列表(延迟低的NTP服务器)
3.使用特定手段将“本机IP地址(黑客的电脑)"伪造成“目标IP地址"(受害者电脑)
4.使用受害者的IP地址对大量的NTP服务器请求NTP服务(同步系统时间)
5.NTP在接到请求会进行时间校准,将数据返回到"目标IP地址"(受害者)
如此一来我们就会受到莫名其妙的攻击
防范策略
- 关闭容易收到攻击的端口(80端口,3389端口)
- 利用策略屏蔽海外UDP流量(因为大部分NTP攻击来源于海外)
- 不轻易暴露IP地址(访问陌生,扫描不明二维码,)
能看到这里,说明您已经有实战操作的想法了
胜象大百科
