目前https的普遍性越來越多,随之而來的攻擊方式也新穎起來,本章詳細介紹下NTP攻擊方式。
網絡時間協定的簡稱NTP。為何使用?即在通過網絡協定同步計算機之前。
0x03NTP反射和增強攻擊。
NTP反射放大攻擊是什麼意思?假如你聽說過DNS反射和放大攻擊,就會很容易了解這個。各種協定具有同樣的作用。
首先說明輻射和放大攻擊:
不管是基于NTP還是基于NTP,最終都是基于UDP的。通常,客戶機将請求包發送給伺服器,伺服器以UDP協定将響應包傳回給客戶機。但UDP協定沒有連接配接,很容易為用戶端發送的請求包僞造源IP。如果源IP被修改成了受害者IP,伺服器傳回的響應包最終傳回給受害者IP。它構成反射攻擊。
擴容攻擊是指一個非常小的請求包将最終接收到一個或多個響應包的數量是請求包數量的許多倍,進而達到四對的效果。
然後我們再看一下NTP的反射放大攻擊。ntp包含monlist函數MON_GETLIST,它主要用來監視NTP伺服器。在NTP伺服器響應monlist之後,與NTP伺服器同步的最後600個客戶機的IP将及時傳回。每6個IP對響應包進行劃分,至多100個響應包。
從monlist被發送到一個NTP伺服器上,我們可以通過nydc指令看到實際情況和包捕獲情況。
從上面的指令行中,我們可以看到,monlist請求接收到602行資料,不過,前兩行資料無效,是600個客戶機的IP清單。此外,從上圖wireshark中可以看到,除了一個請求包,恰好是100個響應包之外,NTP還有101個NTP協定包。
如上圖所示,請求包大小為234位元組,每個響應包的大小為482位元組。隻要簡單的根據這些資料,就可以計算出一個482*100/234=206倍的倍率。實際上,如果你寫了攻擊腳本,請求包就會變小,倍數也會變大。它是不是很牛逼?
