序言:
率先展示反射变大是什么***?
NTP是UDP传输的,所以可以伪造源地址。
NTP协议中有一种check命令,可以让服务器用一个简短的命令返回更长的信息内容。
变大***就是基于这种命令。
比如梁肖以吴亦凡的名义问李冬梅“我们班谁啊?”李冬梅回应吴亦凡说:“有某某,有某某……”(几百字)
然后梁潇以八个字的代价获得了几百字的信息内容,所以被称为Bigger***。
一般互联网上的NTP服务器都有非常大的网络带宽。很有可能***用户只需提交1Mbps的网络带宽,就能给整体目标服务器产生几十万Mbps的***流量,从而达到笑里藏刀的实际效果。所以现在新的ntpd已经可以根据环境变量关闭除了数据同步以外的查看功能了。但是数据同步的视图和返回大小是一样的(如果没有错误的话),所以不能放大***。
下面是ntp服务器的异常现象:
ntp服务器是一个物理服务器,一个网络端口用于内部网络,一个网络端口用于外部网络,直接连接到接入交换机。
互联网流量高。根据网络交换机端口流量查询,发现ntp服务器连接的接入交换机端口流量异常。端口关闭,流量一切正常。下图为春节假期互联网技术流程图。
根据分析,
****在一起有两个原因:
1.服务器防火墙不起作用,ACL对策可用,暴露于外网地址的服务器必须限制浏览子网;
2.入驻云端有wood和DDOS***抗安全防护设备,暴露在外网地址的服务器必须立即进行安全架构加固;
解决方案:
***数据信息端口:UDP123端口。
一、结构加固NTP服务项目:
配置:vi/etc/ntp.conf#表示这个ntp服务器系统软件是centos5.5系统,其他系统软件渠道大概不一样。
1.第一个默认设置是拒绝客户端的所有实际 *** 作,代码是:
限制默认kodnomodifynotrapnopeernoquery#或限制默认忽略
Restrict-6默认KodNoModifyNotrapNoPeerNoQuery#拒绝IPv6用户
2.然后允许所有本地地址的实际 *** 作,编码:
限制127.0.0.1
restrict-6::1#IPv6,
3.然后允许局域网中的某个IP段进行时间同步控制,编码:
限制10.120.189.0屏蔽255.255.255.0无修改
4.重新启动ntp服务。
Centos配置的示例如下:
关键:如果不使用NTP服务,请关闭NTP服务,并且必须同步时间应用指令。
#NTPdate192.168.100.254&;&hwclock-系统
这个指令可以添加到crontab中,按时实现。
*/30****NTPdate192.168.100.254&;&HWclock–systOHC>。/dev/null2>;&1##每30分钟与电脑核对一次,与硬件配置时间核对。
其他结构加固:
1。升级NTP服务器
2。关闭当前NTP服务项的monlist功能,改进ntp.conf环境变量
3中的“禁用监视器”选项。禁止互联网出入口的UDP123端口
2。防御型NTP反射器和放大***
1。因为这种**有明显的特征,
以上解决方案对我来说:
1。关闭当前NTP服务项的monlist功能,在ntp.conf的环境变量中提出“禁用监视器”选项是非常合理的:
实际体验!
2.在互联网的入口和出口阻塞UDP123端口:
由于许多机器和设备必须与该服务器同步它们的时钟,所以阻塞UDP123端口是不实际的。
3.按照传输层强制ACL还是依靠运营商来防御force:
因为涉及到生产系统,不在熟练的服务器防火墙和网络交换机的条件下,所以不考虑提高ACL标准的对策来防御forceNTP***。
期待看到同行的人能提出更强的建议。我们热烈欢迎您向我们展示更强大的解决方案!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)