NTP放大攻击

网络时间协议（Network Time Protocol）

保证网络设备时间同步

电子设备互相干扰导致时钟差异越来越大

影响应用正常运行（证书服务），日志审计不可信

服务端口UDP 123

攻击原理

NTP服务提供monlist（MON_GETLIST）查询功能，监控NTP服务器的状况

客户端查询时，NTP服务器返回最好同步时间的600个客户端IP，每6个IP一个数据包，最多100个数据包（放大约100倍）

发现NTP服务

nmap -sU -123 1.1.1.1

发现漏洞

ntpdc -n -c monlist 1.1.1.1

-n 不解析

-c command（命令）

ntpq -c rv 1.1.1.1 #查配置信息

ntpdc -c sysinfo 192.168.20.5 #查系统信息

开启NTP，monlist查询

/etc/ntp.conf
    restrict -4 default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery

 注释掉这两行禁用

解决对策

升级ntp服务，或者关掉monlist查询功能