如何防御 windows系统ntp协议的ddos攻击

DDoS攻击并不是新技术，该攻击方式最早可以追溯到1996年，2002年时在我国就已经开始频繁出现。在DDoS攻击发展的这十几年间，DDoS攻击也在不断变化。数据显示，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。DDOS攻击下隐藏的是成熟的黑色产业链，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。DDoS的成本如此之低，而且日益简化没有了技术门槛，更没有管理制度。使得DDOS攻击在互联网上的肆虐泛滥，个人站长不可能时刻去更新网络配置去抵御DDOS。那么，站长们应该采取怎样的措施进行有效的防御呢?下面本文就介绍一下防御DDoS的基本方法。

方法/步骤

确保服务器系统的安全 首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。对于国外虚拟主机，像HostEase，BLueHost这些成熟的主机商这些都是必备的服务。

隐藏服务器真实IP 如果资金充足，可以选择高防主机，在服务器前端加CDN中转，所有的域名和子域名都使用CDN来解析。HostEase最新推出洛杉矶两款高防主机，内存高达32GB，硬盘1TB，目前正在特价促销中。

发送邮件要注意 服务器对外传送信息会泄漏IP，最常见的是，服务器不使用发送邮件功能。如果一定要发送邮件，可以通过第三方代理(例如sendcloud)发送，这样显示出来的IP是代理IP。 不难发现服务器防黑最根本的措施就是隐藏IP，只要不泄露真实IP地址，10G以下小流量DDOS的预防还是非常简单的，免费的CDN就可以应付得了。如果攻击流量超过20G，那么免费的CDN可能就顶不住了，使用高防主机才能确保网站安全。最后重要的事情再说一遍服务器的真实IP是需要隐藏的。

NTP是用UDP传输的，所以可以伪造源地址。

NTP协议中有一类查询指令，用短小的指令即可令服务器返回很长的信息。

放大攻击就是基于这类指令的。

网络上一般NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，即可给目标服务器带来几百上千Mbps的攻击流量，达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件，关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话)，所以没办法用作放大攻击。

网络时间协议（Network Time Protocl）。

通常NTP服务使用UDP 123 端口

如何防御

我们可以分为两种情况进行防御

加固 NTP 服务

1. 把 NTP 服务器觉得如果流量真的够大，400G？800G？或者升级到 4.2.7p26

2. 关闭现在 NTP 服务的 monlist 功能，在ntp.conf配置文件中增加`disable monitor`选项

3. 在网络出口封禁 UDP 123 端口

防御 NTP 反射和放大攻击

1. 由于这种攻击的特征比较明显，所以可以通过网络层或者借助运营商实施 ACL 来防御

2. 使用防 DDoS 设备进行清洗

---