接收大量 NTP 请求

Question

如果您拥有动态 IP 地址（或最近获取了静态 IP 地址），则可能是您的地址之前已被全局公共 NTP 池使用。您可以检查https://www.pool.ntp.org/scores/IPADDRESS（将 IPADDRESS 替换为您的公共 IP 地址 - 它同时支持 IPv4 和 IPv6）以查看您的地址是否之前已在池中使用过。

请记住，正常的 NTP 数据包非常小，因此根据这 28M 数据包发生的时间范围，它可能会产生相对较小的背景流量。您上次重置 iptables 计数器是什么时候？可能不值得担心。

或者，正如 Tero Kilkanen 指出的那样，这可能是 DDoS。利用易受攻击的 NTP 服务器尝试进行反射攻击仍然比较常见，因此这并不特别意外，特别是如果您使用的是动态或最近获取的静态地址，或者运行游戏服务器。

如果您想知道这是否是反射攻击，请在固定时间段内抓取所有 NTP 流量的数据包，然后查看 Wireshark 中的数据包，找出有多少数据包的 UDP 有效负载长度超过 72 字节。普通 NTP 数据包的 UDP 有效负载为 56 字节，而使用消息认证码时，则长度最多为 72 字节。（使用 Wireshark 显示过滤器udp.length > 72查看此信息。）如果较大数据包的比例很大，则可能是 DDoS，您可能需要联系您的 ISP。

Answer 1

如果您拥有动态 IP 地址（或最近获取了静态 IP 地址），则可能是您的地址之前已被全局公共 NTP 池使用。您可以检查https://www.pool.ntp.org/scores/IPADDRESS（将 IPADDRESS 替换为您的公共 IP 地址 - 它同时支持 IPv4 和 IPv6）以查看您的地址是否之前已在池中使用过。

请记住，正常的 NTP 数据包非常小，因此根据这 28M 数据包发生的时间范围，它可能会产生相对较小的背景流量。您上次重置 iptables 计数器是什么时候？可能不值得担心。

或者，正如 Tero Kilkanen 指出的那样，这可能是 DDoS。利用易受攻击的 NTP 服务器尝试进行反射攻击仍然比较常见，因此这并不特别意外，特别是如果您使用的是动态或最近获取的静态地址，或者运行游戏服务器。

如果您想知道这是否是反射攻击，请在固定时间段内抓取所有 NTP 流量的数据包，然后查看 Wireshark 中的数据包，找出有多少数据包的 UDP 有效负载长度超过 72 字节。普通 NTP 数据包的 UDP 有效负载为 56 字节，而使用消息认证码时，则长度最多为 72 字节。（使用 Wireshark 显示过滤器udp.length > 72查看此信息。）如果较大数据包的比例很大，则可能是 DDoS，您可能需要联系您的 ISP。

接收大量 NTP 请求

答案1

相关内容