什么是NTP服务？

网络时间协议NTP（Network Time Protocol）是用于互联网中时间同步的标准互联网协议。NTP服务器通过NTP服务向网络上的计算机或其他设备提供标准的授时服务，以保证这些服务系统的时钟能够同步。通常NTP服务使用UDP 123端口提供标准服务。

什么是NTP服务放大攻击？

标准NTP 服务提供了一个 monlist查询功能，也被称为MON_GETLIST，该功能主要用于监控 NTP 服务器的服务状况，当用户端向NTP服务提交monlist查询时，NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP，响应包按照每 6 个 IP 进行分割，最多有 100 个响应包。由于NTP服务使用UDP协议，攻击者可以伪造源发地址向NTP服务进行monlist查询，这将导致NTP服务器向被伪造的目标发送大量的UDP数据包，理论上这种恶意导向的攻击流量可以放大到伪造查询流量的100倍。

如何查看是否遭受NTP放大攻击？

如果网络上检测到大流量的UDP 123端口的数据，就可以确认正在遭受此类攻击。

如何防范NTP放大攻击？

1、linux系统升级办法：

• 升级服务程序版本

将系统中的NTP服务升级到 ntpd 4.2.7p26 或之后的版本，因为 ntpd 4.2.7p26 版本后，服务默认是关闭monlist查询功能的。

• 关闭服务的monlist查询功能：

首先查询问题主机的REQ_MON_GETLIST和REQ_MON_GETLIST_1请求是否可用。具体操作方法：

ntpq -c rv<localhost/remotehost>

ntpdc -c sysinfo<localhost/remotehost>

ntpdc -n -c monlist<localhost/remotehost>

如果上述功能可用，可尝试通过修改ntp.conf文件解决问题，具体操作建议是在上述配置文件中增加下面的配置：

IPV4: restrict default kod nomodify notrap nopeer noquery

IPv6: restrict -6 default kod nomodify notrap nopeer noquery

/*允许发起时间同步的IP，与本服务器进行时间同步，但是不允许修改ntp服务信息，也不允许查询服务器的状态信息（如monlist）*/

另外，还可以配置限制访问命令，如：

restrict default noquery /*允许普通的请求者进行时间同步，但是不允许查询ntp服务信息*/

修改并保存配置文件之后，请重启ntpd服务。

2、windows系统的解决办法：

在ntp.conf配置文件中增加（或修改）“disable monitor”选项，可以关闭现有NTP服务的monlist功能。修改并保存配置文件之后，请重启ntpd服务。

3、网络防范：

在攻击发生时，通过网络设备的ACL丢弃UDP 123端口的数据包。

参考信息：

[1] http://www.rfc-editor.org/rfc/rfc5905.txt

[2] http://cve.scap.org.cn/CVE-2013-5211.html

[3] http://www.kb.cert.org/vuls/id/348126

[4] http://support.ntp.org/bin/view/Support/AccessRestrictions