接收大量 NTP 请求

接收大量 NTP 请求

在我的服务器上,我看到很多 NTP 请求。所有 NTP 流量都被 iptables 阻止。我还能做些什么来阻止这些流量吗?

28M 1019M DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123

这些请求来自不同的 IP 地址。这是某种 DDOS 攻击吗?

答案1

如果您拥有动态 IP 地址(或最近获取了静态 IP 地址),则可能是您的地址之前已被全局公共 NTP 池使用。您可以检查https://www.pool.ntp.org/scores/IPADDRESS(将 IPADDRESS 替换为您的公共 IP 地址 - 它同时支持 IPv4 和 IPv6)以查看您的地址是否之前已在池中使用过。

请记住,正常的 NTP 数据包非常小,因此根据这 28M 数据包发生的时间范围,它可能会产生相对较小的背景流量。您上次重置 iptables 计数器是什么时候?可能不值得担心。

或者,正如 Tero Kilkanen 指出的那样,这可能是 DDoS。利用易受攻击的 NTP 服务器尝试进行反射攻击仍然比较常见,因此这并不特别意外,特别是如果您使用的是动态或最近获取的静态地址,或者运行游戏服务器。

如果您想知道这是否是反射攻击,请在固定时间段内抓取所有 NTP 流量的数据包,然后查看 Wireshark 中的数据包,找出有多少数据包的 UDP 有效负载长度超过 72 字节。普通 NTP 数据包的 UDP 有效负载为 56 字节,而使用消息认证码时,则长度最多为 72 字节。(使用 Wireshark 显示过滤器udp.length > 72查看此信息。)如果较大数据包的比例很大,则可能是 DDoS,您可能需要联系您的 ISP。

相关内容