NTP Reply Flood Attack （NTP反射型DDos攻击）

简介

NTP Reply Flood Attack （NTP射型Ddos攻击）以下简称NTP_Flood是一种利用网络中NTP服务器的脆弱性（无认证，不等价数据交换，UDP协议），来进行DDos行为的攻击，本文将就此种攻击的产生原因，利用方法等进行阐述，并使用编程语言（Python，C++）对此攻击进行实现。

感谢NSFOCUS的大牛同事们（SCZ，周大同学，SAI，冰雪风谷）在日常学习工作中的支持。

NTP服务器

NTP服务器【Network Time Protocol（NTP）】是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。

NTP协议

NTP：Network Time Protocol

网络时间协议（NTP）是一种通过因特网服务于计算机时钟的同步时间协议。它提供了一种同步时间机制，能在庞大而复杂多样因特网中用光速调整时间分配。它使用的是可返回时间设计方案，其特点是：时间服务器是一种分布式子网，能自我组织操作、分层管理配置，经过有线或无线方式同步逻辑时钟达到国家标准时间。此外，通过本地路由选择运算法则及时间后台程序，服务器可以重新分配标准时间。

NTP 的设计带来了三种产品 — 时钟偏移、时间延迟及差量，所有这三种与指定参考时钟都是相关联的。时钟偏移表示调整本地时钟与参考时钟相一致而产生的偏差数；时间延迟表示在指定时间内发送消息与参考时钟间的延时时间；差量表示了相对于参考时钟本地时钟的最大偏差错误。因为大多数主机时间服务器通过其它对等时间服务器达到同步，所以这三种产品中的每一种都有两个组成部分：其一是由对等决定的部分，这部分是相对于原始标准时间的参考来源而言；其二是由主机衡量的部分，这部分是相对于对等而言。每一部分在协议中都是独立维持的，从而可以使错误控制和子网本身的管理操作变得容易。它们不仅提供了偏移和延迟的精密测量，而且提供了明确的最大错误范围，这样用户接口不但可以决定时间，而且可以决定时间的准确度。

NTP 源于时间协议和 ICMP 时间标志消息，但其设计更强调精确度和充足性两个方面，即使是用于网络路径上包括多路网关、延迟差量及不可靠网络。当前使用的最新版是 NTPv3，它與以前的版本兼容。

l  LI：跳跃指示器，警告在当月最后一天的最终时刻插入的迫近闺秒（闺秒）。

l  VN：版本号。

l  Mode：模式。该字段包括以下值：0－预留；1－对称行为；3－客户机；4－服务器；5－广播；6－NTP 控制信息

l  Stratum：对本地时钟级别的整体识别。

l  Poll：有符号整数表示连续信息间的最大间隔。

l  Precision：有符号整数表示本地时钟精确度。

l  Root Delay：有符号固定点序号表示主要参考源的总延迟，很短时间内的位15到16间的分段点。

l  Root Dispersion：无符号固定点序号表示相对于主要参考源的正常差错，很短时间内的位15到16间的分段点。

l  Reference Identifier：识别特殊参考源。

l  Originate Timestamp：这是向服务器请求分离客户机的时间，采用64位时标（Timestamp）格式。

l  Receive Timestamp：这是向服务器请求到达客户机的时间，采用64位时标（Timestamp）格式。

l  Transmit Timestamp：这是向客户机答复分离服务器的时间，采用64位时标（Timestamp）格式。

l  Authenticator（Optional）：当实现了 NTP 认证模式,主要标识符和信息数字域就包括已定义的信息认证代码（MAC）信息。

NTP协议指令集

在Linux上我们可以使用ntpdc来进行NTP的操作，ntpdc支持很多命令:

# ntpdc -n -i time.org.za

ntpdc> ?

ntpdc commands:

addpeer      controlkey   fudge        keytype      quit         timeout

addrefclock  ctlstats     help         listpeers    readkeys     timerstats

addserver    debug        host         loopinfo     requestkey   traps

addtrap      delay        hostnames    memstats     reset        trustedkey

authinfo     delrestrict  ifreload     monlist      reslist      unconfig

broadcast    disable      ifstats      passwd       restrict     unrestrict

clkbug       dmpeers      iostats      peers        showpeer     untrustedkey

不等价交换的DDos利用

Listpeers指令与monlist指令

Listpeers指令，列出目标NTP服务器的peers（NTP Servers）

Monlist指令，可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP包，wireshark抓包如下图：

值得注意的是，截图显示的，仍然只是NTP服务器回包中很小的一部分，此次通信实际的回包比为1：73，而数据量大小比为234 bytes：73×482 bytes，约等于1：562，计算可得到，10M的通信流量可以得到5620M的攻击流量，也就是5G。

正是由于此指令的不等价交换（1：562的报酬），UDP协议的通信模糊性（无三次握手验证），以及NTP服务器的无认证机制，使得反射型DDos攻击成为可能。

DDos攻击程序编写

来自国外Blog的monlist测试例子：

这个Python脚本的作用是，从指定的服务器使用monlist指令返回的IP地址列表，由于Linux的ntpdc指令超时时间很短，因此不容易返回完整的列表。

使用Python进行攻击程序的开发

Python的攻击代码由SAI编写，截图如下：

使用Winpcap进行攻击程序的开发