多家DDoS防護供應(yīng)商都表示，在2014年前幾個月，基于NTP的分布式拒絕服務(wù)(DDoS)攻擊急劇增加。但據(jù)另一份報告稱，SYN洪水攻擊對企業(yè)更具破壞性。

[[111288]]

上周基于云的DDoS防護服務(wù)供應(yīng)商Incapsula公司發(fā)布了2013-2014 DDoS攻擊威脅環(huán)境報告，該報告指出，在2013年12月，NTP DDoS攻擊數(shù)量還不到大型SYN洪水攻擊的一半。

然而，這種數(shù)量差距正在縮小。Incapsula保護的網(wǎng)站在2月份經(jīng)歷了大量NTP DDoS攻擊;超過了此期間內(nèi)發(fā)生的大型SYN洪水攻擊。該公司甚至擴大了其報告范圍來記錄這一趨勢?？傮w而言，基于NTP的攻擊占該公司在其客戶網(wǎng)站檢測到的所有網(wǎng)絡(luò)DDoS攻擊的15%。

Incapsula并不是唯一發(fā)現(xiàn)這個NTP攻擊趨勢的DDoS防護供應(yīng)商。Prolexic公司(現(xiàn)在屬于Akamai Technologies公司)單在2月份就看到針對其客戶的這種攻擊激增371%。

網(wǎng)絡(luò)時間協(xié)議(NTP)是用來跨計算機網(wǎng)絡(luò)同步時間的互聯(lián)網(wǎng)標(biāo)準(zhǔn)，該協(xié)議已經(jīng)成為攻擊者有吸引力的目標(biāo)，因為它可以用來放大DDoS攻擊?？蛻舳讼到y(tǒng)會ping到NTP服務(wù)器來發(fā)起時間請求更換，同步通常每隔10分鐘發(fā)生。

DDoS防護供應(yīng)商CloudFlare公司的John Graham-Cumming在1月份發(fā)表的博客文章寫道，從NTP服務(wù)器發(fā)回到客戶端的數(shù)據(jù)包可能比初始請求大幾百倍。相比之下，通常用于放大攻擊中的DNS響應(yīng)被限制僅為8倍的帶寬。

NTP DDoS攻擊：曇花一現(xiàn)還是會持續(xù)?

NTP并不是新的協(xié)議，為什么現(xiàn)在引起這么多關(guān)注呢?

Incapsula公司產(chǎn)品推廣者Igal Zeifman將DDoS攻擊中使用NTP描述為“曇花一現(xiàn)”，這種熱潮源自于最近幾起利用該協(xié)議的成功攻擊以及隨后媒體的關(guān)注。

這個問題可以追溯到1月中旬，US-CERT發(fā)布了關(guān)于利用CVE-2013-5211的NTP放大攻擊的警示公告，CVE-2013-5211基本上允許攻擊者利用偽造的“MON_GETLIST”請求來DDoS攻擊目標(biāo)。這會造成NTP服務(wù)器發(fā)送給攻擊者潛在受害者名單，即連接到服務(wù)器的最后600個IP地址。

在一個月后，CloudFlare擊退了針對某個客戶的NTP放大DDoS攻擊，據(jù)稱，其峰值帶寬略低于400Gbps。在CloudFlare事件發(fā)生的數(shù)天后，Arbor Networks公司確認(rèn)其觀察到峰值速率達(dá)到325Gbps的NTP放大攻擊。

盡管可能會有更多攻擊者利用NTP的優(yōu)勢，Zeifman表示，部署了DDoS保護的企業(yè)沒必要恐慌，而沒有采用第三方供應(yīng)商來處理大規(guī)模DDoS攻擊的企業(yè)則應(yīng)該警惕此類攻擊。

“高容量NTP流量非常可疑，并且也很容易被忽視，”Zeifman表示，“你不需要復(fù)雜的DDoS防護服務(wù)來阻止NTP驅(qū)動的洪水。”

根據(jù)Zeifman表示，企業(yè)更應(yīng)該擔(dān)心典型的SYN洪水攻擊，因為SYN數(shù)據(jù)包在網(wǎng)絡(luò)上更為常見。即使是專門的DDoS防護服務(wù)供應(yīng)商也非常難以區(qū)分惡意流量和合法流量。

他指出，SYN洪水攻擊仍然是使用最廣泛的的DDoS技術(shù)。在Incapsula的報告中，正常的大規(guī)模SYN洪水攻擊占所有網(wǎng)絡(luò)DDoS攻擊的一半，而在峰值速率達(dá)到20Gbps或以上的DDoS攻擊中，大規(guī)模SYN洪水攻擊達(dá)到半數(shù)以上。

更令人擔(dān)憂的是，該報告表示，五分之四的DDoS攻擊至少使用兩種技術(shù)，正常的和大規(guī)模SYN洪水攻擊共占這些多向量DDoS攻擊的75%。

正常的SYN洪水攻擊是這樣實現(xiàn)的：攻擊者通過偽造IP地址發(fā)送大量SYN數(shù)據(jù)包到服務(wù)器，這樣，相應(yīng)的ACK響應(yīng)永遠(yuǎn)不會發(fā)送回來完成TCP三次握手，這意味著攻擊者可以占用服務(wù)器的所有開放連接。

Zeifman表示，另一方面，大規(guī)模SYN洪水攻擊則專注于通過大量流量來堵塞網(wǎng)絡(luò)管道。這兩種技術(shù)的結(jié)合能夠讓攻擊者涵蓋所有方面。

“如果DDoS攻擊比喻成闖入一所房子，那么，這種技術(shù)就像是試圖同時從前門和側(cè)面窗戶來入侵，”Zeifman表示，“攻擊者希望這兩方面至少有一個沒受保護。”