之前有介绍过DNS的反射攻击,主要是伪造受攻击的IP给开放递归DNS发起一些查询,包括不限于ANY类型的查询或者是自己制造一些很大的TXT记录,使得这些开放递归DNS对受攻击的IP回复非常大的包,达到攻击流量放大的作用。最近又有比较流行的是NTP的反射放大攻击,主要是利用里monlist去ntp服务器提供查询最近与NTP服务器有联系的600个client的信息。使用的方式类似如下:
ntpdc -n -c monlist ntp.xx.xx
如果使用这个NTP服务器机器够多,那么就一定能返回600条记录,tcpdump抓包可以看到是分100个包(大小482字节)返回的,每个包含有6条记录。这样放大比就是100*482/234=206倍左右。
正是因为NTP放大攻击的倍数比较大,所以非常具有杀伤力,4M的上联带宽的家用宽带可以轻松打出800M的流量,足以把一些小网站的入口带宽打爆了。
参考:http://bugs.ntp.org/show_bug.cgi?id=1532