NTP Reply洪水攻击

NTP(Network Time Protocol),网络时间协议。用来本地与远程NTP服务器时间进行同步所使用的协议。玩过那么多协议,竟然从来没有重视过这个协议。看了黑防Linxinsnow和Longas的文章,才正儿八经研究了研究。作为笔记记录之。 关于此协议详细的就不多写了。简单描述之便可。具体细节远不止如此,NTP协议不复杂,但也不是很简单的。

  1. 本地向远程NTP服务器发送NTP数据包,用的不可靠的UDP协议。
  2. NTP服务器收到数据包,返回时间戳。
  3. 本地根据返回的,再结合某些算法,计算出时间差,然后调整本地时间。

不过构造特殊的NTP数据包的时候,NTP服务器就可以返回最近接近600个向该服务器更新过的IP,可能实际上返回不了那么多,因为UDP不可靠。这个举动造成两个结果:1、信息泄露,IP地址全部曝光了。关于IP泄露的防范,个人觉得应该将一台对外的服务器作为NTP服务器,然后内部都以这台服务器的时间为准进行同步;2、传说中的NTP Reply洪水攻击,理论上返回600个UDP数据包,我抓包计算了一下,一个包大概有400多字节,我抓的时候是488个字节左右(具体数据包大小没有完全确认过)。倘若网络完全没有障碍,返回了接近600个数据包,那么理想情况下,就等于UTP服务器发送了600*488个字节的数据给本机。

关于这个特殊的NTP数据包,下图是我抓包得到的:

1.jpg

十六进制的内容:

2.jpg

正常情况下,客户端向NTP服务器发送请求后,NTP服务器向客户端答复请求,流程大概如下图(我用Cisco Packet Tracer随便画的,中间那根线代表路径,不代表网线):

3.jpg

但是,咱们可以构造UDP数据包,由于UDP没有TCP的三次握手,导致随意的数据包可以流过去,于是,将UDP数据包中源地址改成欲攻击对象的,这样返回的数据包就飞到那个造孽的娃娃电脑上去了,大概流程图如下:

4.jpg

于是,老样子,用python完成一个简单的测试程序,数据包是我硬编码的,内容就是上文中第二张截图的内容:),如下:

import socket
ntp_data = '\x17\x00\x02\x2a'
ntp_data += '\x00' * 156

s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
s.connect(('133.100.11.8',123))
s.send(ntp_data)

我用Wireshark抓包,过滤其他的包,只抓NTP协议的,如图:

5.jpg

这个python程序是将数据包返回本地机的,可以构造UDP数据包,用python构造或者WinPcap编程也行。倘若不停向几台NTP服务器发送请求,请求应答却发送到其他机器上,就形成了DDOS,目前好像全世界有100多台NTP服务器吧,忘记具体数字了,不是100多台就算了哈,不计较这个数据问题。

对于防范方法,理论上的方法倒有几个,可能实际上行不通,就不献丑了。