CentOS上NTP服務的DDOS攻擊解決辦法

引言： 在網路上，Linux伺服器大行其道，但是也備受攻擊。本文將描述在實際中碰到的NTP攻擊問題以及相應的解決辦法。

1. 情境描述

     Aliyun上的ECS一台，過一段時間，頻繁警示，說是流量過大，遭到了DDOS攻擊，服務將被隔離，並停止回應服務一段時間，進行流量清晰。 總之，服務被DDOS搞掛了，不可用。

2.  分析

    通過提交工單，擷取了訪問的日誌資訊cap檔案。開啟之後，看到了大量的NTP服務資訊：

190.000140188.162.1.140115.29.44.161NTP482NTP Version 2, private

 

   經過基於連接埠和進程的尋找，都是基於123連接埠的串連請求大量佔用資源， 而123連接埠是NTP服務的連接埠，故基本確定是NTP服務被外部反覆請求造成的。

3.  何為NTP。

    NTP伺服器【Network Time Protocol（NTP）】是用來使電腦時間同步化的一種協議，它可以使電腦對其伺服器或時鐘源（如石英鐘，GPS等等)做同步化，它可以提供高精準度的時間校正（LAN上與標準間差小於1毫秒，WAN上幾十毫秒），且可介由加密確認的方式來防止惡毒的協議攻擊。時間按NTP伺服器的等級傳播。按照離外部UTC源的遠近把所有伺服器歸入不同的Stratum（層）中。

   參考資訊； http://baike.baidu.com/link?url=y5y33eP0oLaSRg6pPMGDM6i-KPDxHwAQuHh84SAn_JBayZswqUEt2fWSadUrMn3uu7MeVA-ZCib6wCDCrqSA8K

4.  如何來解決：
伺服器現象：

由於您機器上的服務配置不當，導致被駭客利用進行DDOS攻擊，表現為機器對外頻寬佔滿，使用抓包工具，可以看到大量同一源連接埠的包對外發出。 Linux系統：

加固NTP服務：

1、通過Iptables配置只允許信任的IP，訪問原生UDP的123連接埠，修改設定檔執行echo "disable monitor" >> /etc/ntp.conf，然後重啟NTP服務，service ntpd restart。

2、建議您直接關閉掉NTP服務，執行service ntp stop，並禁止其開機自啟動執行chkconfig ntpd off。

 

加固Chargen服務：

1、通過Iptables配置中允計信任的IP，訪問原生UDP的19連接埠。

2、建議您直接關閉掉chargen服務，編輯設定檔 "/etc/inetd.conf"，使用#號注釋掉chargen服務，重啟inetd。  Windows系統：

加固Simple tcp/ip服務：

1、通過防火牆配置，只允許信任的IP，訪問本機UDP、TCP的19、17連接埠。

2、我們建議您直接如下圖配置關閉該服務，並禁止自啟動。

  WEB應用的加固：

Wordpress的Pingback：

1、您可以通過增加Wordpress外掛程式來阻止Pinback被利用，加入如下的過濾器：

add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods[‘pingback.ping’] );
   return $methods;
} );

2、我們建議您，直接刪除檔案xmlrpc.php。

5. 參考資料：     https://help.aliyun.com/knowledge_detail/37527.html