概述

NTP協(xié)議（Network Time Protocol）是標準的網(wǎng)絡時間同步協(xié)議，應用于分布式時間服務器和客戶端之間，實現(xiàn)客戶端和服務端的時間同步，從而使互聯(lián)網(wǎng)內(nèi)所有設備的時間保持同步。
它采用層次化時間分布模型。網(wǎng)絡體系結(jié)構(gòu)主要包括主時間服務器、從時間服務器和客戶機，主時間服務器位于根節(jié)點，負責與高精度時間源進行同步，為其他節(jié)點提供時間服務，各客戶端由從時間服務器經(jīng)主服務器獲得時間同步。

詳細信息

NTP服務的DDoS攻擊原理

NTP協(xié)議是基于UDP協(xié)議的服務器、客戶端模型，由于UDP協(xié)議的無連接性（不像TCP具有三次握手過程）具有天然的不安全性缺陷，黑客正是利用NTP服務器的不安全性漏洞發(fā)起DDoS攻擊。一般流程如下：

1. 尋找目標，包括攻擊對象和網(wǎng)絡上的NTP服務器資源。
2. 偽造要“攻擊對象”的IP地址向NTP服務器發(fā)送請求時鐘同步請求報文，為了增加攻擊強度，發(fā)送的請求報文為monlist請求報文。
   NTP協(xié)議包含一個monlist功能，用于監(jiān)控NTP服務器，NTP服務器響應monlist指令后就會返回與其進行過時間同步的最近600個客戶端的IP地址，響應包按照每6個IP進行分割，最多一個NTP monlist請求會形成100個響應包，具有較強的放大能力。
   實驗室模擬測試顯示，當請求包的大小為234字節(jié)時，每個響應包為482字節(jié)，單純按照這個數(shù)據(jù)，計算出放大的倍數(shù)是：482*100/234 = 206倍，從而大流量阻塞網(wǎng)絡，導致網(wǎng)絡不通，無法提供服務。

NTP服務的DDoS防御原理

1. 購買足夠大的帶寬，硬性抵擋NTP服務的DDoS攻擊產(chǎn)生的大流量攻擊。
2. 使用DDoS防御產(chǎn)品，將入口異常流量進行清洗，區(qū)分正常和異常流量，將正常流量分發(fā)給服務器進行業(yè)務處理。
3. 通過防火墻對UDP使用的123端口進行限制，只允許NTP服務與固定IP進行通信，其他IP全部拒絕。
4. 關(guān)閉NTP服務器monlist功能。
5. 升級NTP服務器版本到4.2.7p26。