2014年2月11日，CloudFlare透漏其客戶遭受400G的NTP Flood攻擊，刷新歷史DDoS攻擊的流量峰值外，使得NTP Flood攻擊備受業界關注。其實自從黑客組織DERP使用了NTP發起反射攻擊后，2014新年內的第一周，NTP反射攻擊占了DoS攻擊流量的69%，整個NTP攻擊的平均大小為約每秒7.3G bps，比2013年12月觀察到的平均攻擊流量高3倍。

[[108854]]

下面讓我們看看NTP 服務器的原理。

NTP協議(network time protocol)是標準的網絡時間同步協議，它采用層次化時間分布模型。網絡體系結構主要包括主時間服務器、從時間服務器和客戶機。主時間服務器位于根節點，負責與高精度時間源進行同步，為其他節點提供時間服務;各客戶端由從時間服務器經主服務器獲得時間同步。

以一個大企業網為例，企業搭建自身的時間服務器，作為從時間服務器，負責從主時間服務器同步時間，然后再負責將時間同步給企業的各業務系統。為確保時間同步延遲小，每個國家按地域搭建為數眾多的時間服務器，作為主時間服務器,滿足互聯網各業務系統的時間同步需求。

隨著網絡信息化的高速發展，包括金融業，電信業，工業，鐵路運輸，航空運輸業等各行各業對于以太網技術的依賴日益增強。各式各樣的應用系統由不同的服務器組成，如電子商務網站由WEB服務器、認證服務器和數據庫服務器組成，WEB應用要正常運行，必須實時確保WEB服務器、認證服務器和數據庫服務器之間的時鐘同步。再比如分布式的云計算系統、實時備份系統、計費系統、網絡的安全認證系統甚至基礎的網絡管理，都強依賴于精確的時間同步。

神秘的NTP Flood為什么如此受黑客的青睞呢?

NTP協議是基于UDP協議的服務器/客戶端模型，由于UDP協議的無連接性(不像TCP具有三次握手過程)具有天然的不安全性缺陷。黑客正式利用NTP服務器的不安全性漏洞發起DDoS攻擊。只需2步，即可輕松實現四兩撥千斤的攻擊效果。

第一步：尋找目標，包括攻擊對象和網絡上的NTP服務器資源。

第二步：偽造要“攻擊對象”的IP地址向NTP服務器發送請求時鐘同步請求報文，為了增加攻擊強度，發送的請求報文為Monlist請求報文，威力則更猛。NTP協議包含一個monlist功能，用于監控 NTP 服務器，NTP 服務器響應monlist指令后就會返回與其進行過時間同步的最近 600 個客戶端的IP地址。響應包按照每6個IP進行分割，最多一個NTP monlist請求會形成100 個響應包,具有強的放大的能力。實驗室模擬測試顯示,當請求包的大小為234字節時，每個響應包為 482 字節，單純按照這個數據,計算出放大的倍數是：482*100/234 = 206倍!

哇哈哈~~~攻擊效果很明顯，被攻擊目標很快出現拒絕服務現象，更有甚者整個網絡擁塞。

自從黑客組織DERP發現NTP發起反射攻擊效果后，便在在2013年12月底上演了針對包括EA、暴雪等大型游戲公司的一系列DDoS攻擊事件中，使用了NTP反射攻擊。看起神秘的NTP反射攻擊，其實并不神秘，與DNS反射攻擊具有異曲同工之效，都是利用UDP協議的不安全漏洞，利用開放的服務器發起的，不同的是NTP威脅性更強，因為每個數據中心服務器都需要時鐘同步，無法通過協議、端口的過濾來進行防護。

總結起來反射類攻擊最大的特點，就是以小博大，四兩撥千斤，利用各種協議漏洞來放大攻擊效果，但萬變不離其宗，只要捏住攻擊的“七寸”，就能從根本上遏制攻擊。而反射攻擊的“七寸”就是它的流量異常。這就需要防護系統能夠及時發現流量的異常，而發現異常還遠遠不夠，防護系統還要有足夠的性能來抵御這種簡單粗暴攻擊，要知道現在的攻擊動輒都是100G起了，防護系統要是沒個幾百G的防護能力，就是發現了，也只能干瞪眼。

華為Anti-DDoS系統會主動建立數十種多種維度流量模型，第一時間發現流量異常，同時高達數百G的防護能力，足以應對已知的最大流量攻擊。