NTP反射攻击解决办法

这是我一个真实的案例,客户那边反映有个公网的主机,流量突增居然达到了每秒800M的流量,严重影响到了业务,
这台主机只跑了NTP服务,用 iftop -P -i  eth1  查看全是NTP的服务而且流量非常高
这是因为NTP的反射攻击造成的,系统用的是SUSE的系统自带NTP服务,当时就直接启动了,并没有进行安全配置的加固,以至于出现了攻击,具体的攻击原理大家可以去网上搜索一下,这里就不介绍了

下面是NTP加固的方法
1. NTP服务器升级到4.2.7p26

2. 关闭现在NTP服务的 monlist 功能,在ntp.conf配置文件中增加“disable monitor”选项

 

3.修改配置:vi /etc/ntp.conf   #说明:以centos5.5系统演示的,其他系统路径可能不同。
1.首先默认拒绝client所有的操作,代码:
restrict default kod nomodify notrap nopeernoquery   #restrict defaultignore
restrict -6 default kod nomodify notrapnopeer noquery    #拒绝 IPv6 的用戶
2. 然后允许本机地址一切的操作,代码:
restrict 127.0.0.1
restrict -6 ::1     # IPv6
3.然后允许局域网内某个IP段能否进行时间同步操作,代码:
restrict 10.120.189.0 mask 255.255.255.0nomodify
4.重启ntp服务.
Centos配置示例如下图:

发表评论