浅析各类DDoS攻击放大技术

世界上有2170万个公开DNS解析器，网站正致力于关闭它们。

解决办法

把recurison设置为no

允许在特定的地址查询，options { allow-query{192.168.1.0/24;};};

0×05 NTP 放大DDoS攻击 400Gbps的技术细节

2014年2月出现一次400Gbps规模的NTP攻击，这类攻击越来越走俏，这次事件可以作为一个好的例子来说明一下这种攻击方法。

首先了解一下基础的结构，NTP放大攻击开始于一个被黑客控制的服务器允许IP欺骗，攻击者生成了很多UDP包欺骗源IP地址使来自特定目标的包出现，这些UDP包发送到支持MONLIST命令的网络时间协议服务器port123。

顺便聊一聊MONLIST命令

它的用处在于返回一个NTP服务器上600个IP地址的列表，所以它可以拿来干坏事。如果一个NTP服务器完全迁移它的表，反馈的信息将被放大206倍。此类攻击中IP地址伪造，UDP不需要握手，理论上有200倍的放大效果。

然而这不仅仅是理论，此次攻击事件中，为了400Gbps的攻击效果攻击者应用了运行在1298个不同网络上的4529台NTP服务器。平均每台NTP服务器产生87Mbps的通信量。值得注意的是攻击者很可能只用了一个能IP欺骗的网络服务器就做成了此次攻击。

NTP服务器支持MONLIST和公开DNS解析器不一样，虽然它们都趋向于多网络连接的服务器。对比而言，NTP 攻击更加的效率，2013年曾有一次几乎玩坏互联网的DDoS攻击被纽约时报报道，利用30956公开DNS解析器，目标Spamhaus产生300Gbps的通信量。NTP攻击只用了1/7的服务器，实现的攻击效果还比Spamhaus事件多1/3。

解决办法：禁止MONLIST命令

黑客攻击的前提是IP地址欺骗，如果你在管理网络，确保遵守BCP38。可以用这个来自MIT的工具检测一下http://spoofer.cmand.org/summary.php

最后如果你觉得NTP不好，那就等待下一个SNMP，但是SNMP理论上有650倍的放大效果，已经看到有黑客跃跃欲试了，Buckle up。

（来源：FreeBuf）