在 DDoS 反击开始时修补 NTP 服务器

据DDoS 防御公司 NSFOCUS 称，IT 行业似乎对 2014 年初有关 DDoS 放大攻击风险日益增加的警告做出了良好反应，修补了大量易受攻击的服务器。

这家美国提供商周二公布了新的统计数据，称3 月份全球易受攻击的 NTP 服务器数量约为 21,000 台，5 月份再次下降至 17,600 台。这低于2013 年 12 月的 432,120 人。

但是，系统管理员仍然需要完成工作。该报告还声称，能够将流量放大700 倍以上的 NTP 放大器数量已从 12 月的 1,224 个增加到今天的 2,100 个。

“US-CERT 和网络时间协议强烈建议系统管理员将 ntpd 升级到 4.2.7p26 或更高版本，”NSFOCUS 说。

“4.2.7p26 早期版本的用户应该在默认限制中使用 noquery 来阻止所有状态查询，或者使用 disable monitor 来禁用 ntpdc –c monlist 命令，同时仍然允许其他状态查询。”

早在1 月份，美国CERT 就警告说，利用公开服务器进行的 NTP 放大 DDoS 攻击的威胁越来越大。

如果没有得到适当的保护，全球NTP 服务器的普遍性使它们成为此类攻击的潜在危险媒介。一系列连接的设备使用 NTP 来同步它们的时钟。

攻击者可以通过“monlist”查询请求连接到该服务器的最后 600 个 IP 地址的列表，从而相当容易地利用开放的 NTP 服务器。

然后他们需要做的就是将源地址伪装成受害者的源地址，以发送大量结果来压倒他们的IT 系统。

建议升级到新的NTP 版本会自动禁用 monlist 功能。

网络安全公司Incapsula 在 3 月发布的一项 DDoS 威胁态势研究显示，自1 月以来，NTP 放大攻击发生了重大转变，最大攻击达到 180Gbps。