ntp服务器被反射放大***的处理方法

ntp服务器被反射放大***的处理方法

序言:

率先展示反射变大是什么***？

NTP是UDP传输的，所以可以伪造源地址。
NTP协议中有一种check命令，可以让服务器用一个简短的命令返回更长的信息内容。
变大***就是基于这种命令。
比如梁肖以吴亦凡的名义问李冬梅“我们班谁啊？”李冬梅回应吴亦凡说:“有某某，有某某……”(几百字)
然后梁潇以八个字的代价获得了几百字的信息内容，所以被称为Bigger***。
一般互联网上的NTP服务器都有非常大的网络带宽。很有可能***用户只需提交1Mbps的网络带宽，就能给整体目标服务器产生几十万Mbps的***流量，从而达到笑里藏刀的实际效果。所以现在新的ntpd已经可以根据环境变量关闭除了数据同步以外的查看功能了。但是数据同步的视图和返回大小是一样的(如果没有错误的话)，所以不能放大***。

下面是ntp服务器的异常现象:

ntp服务器是一个物理服务器，一个网络端口用于内部网络，一个网络端口用于外部网络，直接连接到接入交换机。

互联网流量高。根据网络交换机端口流量查询，发现ntp服务器连接的接入交换机端口流量异常。端口关闭，流量一切正常。下图为春节假期互联网技术流程图。

根据分析，

****在一起有两个原因:

1.服务器防火墙不起作用，ACL对策可用，暴露于外网地址的服务器必须限制浏览子网；

2.入驻云端有wood和DDOS***抗安全防护设备，暴露在外网地址的服务器必须立即进行安全架构加固；

解决方案:

***数据信息端口:UDP123端口。
一、结构加固NTP服务项目:

配置:vi/etc/ntp.conf#表示这个ntp服务器系统软件是centos5.5系统，其他系统软件渠道大概不一样。

1.第一个默认设置是拒绝客户端的所有实际 *** 作，代码是:

限制默认kodnomodifynotrapnopeernoquery#或限制默认忽略

Restrict-6默认KodNoModifyNotrapNoPeerNoQuery#拒绝IPv6用户

2.然后允许所有本地地址的实际 *** 作，编码:

限制127.0.0.1

restrict-6::1#IPv6，

3.然后允许局域网中的某个IP段进行时间同步控制，编码:

限制10.120.189.0屏蔽255.255.255.0无修改

4.重新启动ntp服务。

Centos配置的示例如下:

关键:如果不使用NTP服务，请关闭NTP服务，并且必须同步时间应用指令。

#NTPdate192.168.100.254&；&hwclock-系统

这个指令可以添加到crontab中，按时实现。

*/30****NTPdate192.168.100.254&；&HWclock–systOHC>。/dev/null2>；&1##每30分钟与电脑核对一次，与硬件配置时间核对。

其他结构加固:
1。升级NTP服务器
2。关闭当前NTP服务项的monlist功能，改进ntp.conf环境变量
3中的“禁用监视器”选项。禁止互联网出入口的UDP123端口
2。防御型NTP反射器和放大***
1。因为这种**有明显的特征，

以上解决方案对我来说:
1。关闭当前NTP服务项的monlist功能，在ntp.conf的环境变量中提出“禁用监视器”选项是非常合理的:
实际体验！

2.在互联网的入口和出口阻塞UDP123端口:
由于许多机器和设备必须与该服务器同步它们的时钟，所以阻塞UDP123端口是不实际的。

3.按照传输层强制ACL还是依靠运营商来防御force:
因为涉及到生产系统，不在熟练的服务器防火墙和网络交换机的条件下，所以不考虑提高ACL标准的对策来防御forceNTP***。

期待看到同行的人能提出更强的建议。我们热烈欢迎您向我们展示更强大的解决方案！