NTP反射型攻击原理

NTPReplyFloodAttack（NTP反射型DDos攻击）1、简介NTPReplyFloodAttack（NTP射型Ddos攻击）以下简称NTP_Flood是一种利用网络中NTP服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDos行为的攻击，本文将就此种攻击的产生原因，利用方法等进行阐述。2、NTP协议NTP：NetworkTimeProtocol网络时间协议（NTP）是一种通过因特网服务于计算机时钟的同步时间协议。它提供了一种同步时间机制，能在庞大而复杂多样因特网中用光速调整时间分配。它使用的是可返回时间设计方案，其特点是：时间服务器是一种分布式子网，能自我组织操作、分层管理配置，经过有线或无线方式同步逻辑时钟达到国家标准时间。此外，通过本地路由选择运算法则及时间后台程序，服务器可以重新分配标准时间。NTP的设计带来了三种产品—时钟偏移、时间延迟及差量，所有这三种与指定参考时钟都是相关联的。时钟偏移表示调整本地时钟与参考时钟相一致而产生的偏差数；时间延迟表示在指定时间内发送消息与参考时钟间的延时时间；差量表示了相对于参考时钟本地时钟的最大偏差错误。因为大多数主机时间服务器通过其它对等时间服务器达到同步，所以这三种产品中的每一种都有两个组成部分：其一是由对等决定的部分，这部分是相对于原始标准时间的参考来源而言；其二是由主机衡量的部分，这部分是相对于对等而言。每一部分在协议中都是独立维持的，从而可以使错误控制和子网本身的管理操作变得容易。它们不仅提供了偏移和延迟的精密测量，而且提供了明确的最大错误范围，这样用户接口不但可以决定时间，而且可以决定时间的准确度。NTP源于时间协议和ICMP时间标志消息，但其设计更强调精确度和充足性两个方面，即使是用于网络路径上包括多路网关、延迟差量及不可靠网络。当前使用的最新版是NTPv3，它與以前的版本兼容。LI：跳跃指示器，警告在当月最后一天的最终时刻插入的迫近闺秒（闺秒）。VN：版本号。Mode：模式。该字段包括以下值：0－预留；1－对称行为；3－客户机；4－服务器；5－广播；6－NTP控制信息Stratum：对本地时钟级别的整体识别。Poll：有符号整数表示连续信息间的最大间隔。Precision：有符号整数表示本地时钟精确度。RootDelay：有符号固定点序号表示主要参考源的总延迟，很短时间内的位15到16间的分段点。RootDispersion：无符号固定点序号表示相对于主要参考源的正常差错，很短时间内的位15到16间的分段点。ReferenceIdentifier：识别特殊参考源。OriginateTimestamp：这是向服务器请求分离客户机的时间，采用64位时标（Timestamp）格式。ReceiveTimestamp：这是向服务器请求到达客户机的时间，采用64位时标（Timestamp）格式。TransmitTimestamp：这是向客户机答复分离服务器的时间，采用64位时标（Timestamp）格式。Authenticator（Optional）：当实现了NTP认证模式,主要标识符和信息数字域就包括已定义的信息认证代码（MAC）信息。3、NTP协议指令集在Linux上我们可以使用ntpdc来进行NTP的操作，ntpdc支持很多命令:#ntpdc-n-itime.org.zantpdc?ntpdccommands:addpeercontrolkeyfudgekeytypequittimeoutaddrefclockctlstatshelplistpeersreadkeystimerstatsaddserverdebughostloopinforequestkeytrapsaddtrapdelayhostnamesmemstatsresettrustedkeyauthinfodelrestrictifreloadmonlistreslistunconfigbroadcastdisableifstatspasswdrestrictunrestrictclkbugdmpeersiostatspeersshowpeeruntrustedkey4、不等价交换的DDos利用Listpeers指令与monlist指令Listpeers指令，列出目标NTP服务器的peers（NTPServers）Monlist指令，可以获取与目标NTPServer进行过同步的最后600个客户机IP。这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP包，wireshark抓包如下图：值得注意的是，截图显示的，仍然只是NTP服务器回包中很小的一部分，此次通信实际的回包比为1：73，而数据量大小比为234bytes：73×482bytes，约等于1：562，计算可得到，10M的通信流量可以得到5620M的攻击流量，也就是5G。正是由于此指令的不等价交换（1：562的报酬），UDP协议的通信模糊性（无三次握手验证），以及NTP服务器的无认证机制，使得反射型DDos攻击成为可能。