遭受了 NTP 放大攻击

某台开放了公网的服务器流量从某时刻起突然暴涨了,登陆上去排查,ibmonitor&iftop&iptraf 三个工具结合跑一遍,直接定位到了问题的根源,遭受了 ntp amplification,现象以及细节可以看下面五张图。

整个过程中我们的带宽变化

攻击进行时通过 iftop 观察到的现象

攻击进行时通过 iptraf 观察到的现象

停止了 ntp 之后通过 iftop 观察到的

停止了 ntp 之后通过 iptraf 观察到的

关注 cloudflare 官方博客的可以发现,时间跟这次全球性的 400G DDoS 非常吻合,之后通过跟官方联系,确认我们的机器是受害者之一。
除了 NTP 之外,DNS 以及 SNMP 也是易受攻击做 AMP 的协议之一,二者都是 UDP,很容易通过很小的投入产生巨大的流量,根据监控可以发现,机器的进流量在受攻击的这段时间内几乎没有变化,而出去的流量净增 400M+。按照这个量,攻击十台这样的服务器,基本可以搞定一个中型网站的一个或者多个出口。

如何防御?OpenNTPProject 这个项目上写的很详尽