Esses ataques existem há muito tempo, eles voltaram a ser populares nos últimos dois meses. Eles funcionam como qualquer ataque de amplificação regular: um host falsifica uma consulta para que o endereço IP de origem pareça ser o host de destino. O servidor NTP envia sua resposta para o endereço falsificado. Como a resposta para tipos de consulta específicos pode ser muito grande e geralmente é UDP, isso pode rapidamente se tornar um problema para o host de destino: ele está sendo sobrecarregado com pacotes NTP.
Infelizmente, isso não é uma vulnerabilidade em servidores NTP, é apenas um recurso que está sendo abusado. Uma coisa a considerar é se você precisa executar servidores NTP que podem ser consultados em toda a Internet. Se isso não for necessário, crie uma lista de acesso ou uma política de firewall para bloquear consultas provenientes de fontes não confiáveis. Então, o que você pode fazer para verificar se seus servidores NTP estão vulneráveis é fazer consultas NTP de fontes não confiáveis e verificar se você obtém uma resposta. Mas infelizmente há um grande número de servidores NTP que são públicos por intenção (por exemplo, todos os servidores em pool.ntp.org
). Se você precisar executar um servidor NTP público, poderá considerar a implementação da taxa de consulta para reduzir o impacto no host de destino em caso de abuso.
Outra parte mais genérica da solução é que as redes precisam implementar o BCP38 , que solicita a filtragem tráfego deixando suas redes, portanto, o envio de pacotes falsificados é impossível. Infelizmente, ainda há um grande número de redes que não implementam esse tipo de filtragem, portanto, todos os ataques com pacotes de origem falsificados (usando qualquer protocolo como NTP, DNS ou chargen) ainda são possíveis.
O que você pode fazer para mitigar esse ataque depende um pouco da sua rede e ferramentas disponíveis, mas uma coisa que você deve considerar é o bloqueio de pacotes NTP recebidos de fontes não confiáveis (verifique quais servidores NTP você está usando). Claro, isso não ajuda se o seu uplink estiver congestionado. Nesse caso, você precisará perguntar ao seu provedor para ajudá-lo a filtrar o tráfego.