什么是 NTP 放大攻擊

NTP放大攻擊是種基于反射的容量耗盡分布式拒絕服務攻擊。在這種攻擊中，攻擊者利用一種網絡時間協議服務器功能，發送放大的UDP流量，使目標網絡或服務器不堪重負，導致正常流量無法到達目標及其周圍基礎設施。所有放大攻擊都利用了攻擊者和目標Web資源之間的帶寬成本差異。當許多請求之間的成本差異被放大時，由此產生的流量會破壞網絡基礎架構。通過發送小的查詢導致較大響應，惡意用戶可以從更少的資源中獲取更多收益。

緩解NTP放大攻擊的措施有以下這些：

• 禁用monlist：減少支持monlist命令的NTP服務器的數量：修補monlist漏洞的一種簡單解決方案是禁用該命令。默認情況下，4.2.7之前的所有版本的NTP軟件都容易受到攻擊。通過將NTP服務器升級到4.2.7或更高版本，該命令被禁用，從而修補了該漏洞。如果無法升級，則遵循US-CERT的說明將允許服務器的管理員進行必要的更改。

• 配置高防IP：隱藏源站IP阻止欺騙性數據包占用資源，攻擊者的僵尸網絡發送的UDP請求必須具有欺騙到受害者IP地址的源IP地址，因此降低基于UDP的放大攻擊的有效性的關鍵因素是Internet服務提供商(ISP)拒絕任何內部流量欺騙的IP地址。因此我可以采用高防IP來作為前置IP達到抵御NTP放大攻擊。DDoS高防IP是針對互聯網服務器在遭受大流量DDoS攻擊后導致服務不可用的情況下，推出的付費增值服務，通過配置高防IP將攻擊流量引到高防IP達到隱藏源站IP保護源站安全穩定，提升用戶體驗和對內容提供商的黏度。

• 針對地理位置的源ip進行阻斷：針對業務用戶的地理位置特性，在遇到UDP反射攻擊時，優先從用戶量最少地理位置的源IP進行封禁阻斷，直到將異常地理位置的源IP請求全部封禁，使流量降至服務器可處理的范圍之內，可有效減輕干擾流量；

• 配置Web應用程序防火墻(WAF)過濾海量攻擊：Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略的一款產品。基于云安全大數據能力，用于防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，并過濾海量惡意CC攻擊，避免您的網站資產數據泄露，保障網站業務的安全與可用性。

回答所涉及的環境：聯想天逸510S、Windows 10。