我们正在托管服务器上处理NTP反射/放大攻击。此问题特定于对NTP反射攻击的响应,而不是一般针对DDoS。
这是交通:
它在我们的路由器上浪费了一些CPU:
不幸的是,它还不足以导致我们的上游提供商对流量进行黑洞处理,这意味着流量正在传递给我们。
我们使用以下规则来阻止源自端口123的NTP通信:
-p udp --sport 123 -j DROP
这是IPTables中的第一条规则。
我进行了很多搜索,但找不到关于如何使用IPTables缓解NTP反射攻击的大量信息。而且那里的某些信息似乎完全不正确。此IPTables规则正确吗?除了联系我们的上游网络提供商之外,我们还能添加或做些其他事情来缓解NTP反射/放大攻击吗?
另外:由于这些攻击者必须使用的网络
- 允许对数据包中的IP地址进行欺骗
- 未打补丁,约2010年NTP代码
我们可以向这些全球IP的地址报告这些IP地址,以便它们得到修复以停止允许欺骗性数据包并修补其NTP服务器吗?