基于NTP反射放大攻击的DDoS追踪研究

doi:10.3969/j.issn.1000-436x.2014.z1.007

摘要/Abstract

摘要：

摘要：提出了一种利用NTP反射型放大攻击的特点，通过对中国大陆开放公共NTP服务的主机定期发起主动探测（执行monlist指令），利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。追踪从2014年2月开始，初始探测范围为大陆近1.4万台NTP服务主机，每隔2 h一个周期持续进行了164天，观测到了针对数十万个IP地址的疑似DDoS攻击行为。

关键词: NTP, 反射型放大攻击, DDoS, DRDoS, 行为追踪

Abstract:

Based on characteristics of NTP reflection amplification attack,proposes a method of regularly launching ac

Key words: NTP, reflection amplification attack, DDoS, DRDoS, behavior tracking

姜开达,章思宇,孙强. 基于NTP反射放大攻击的DDoS追踪研究[J]. 通信学报, 2014, 35(Z1): 31-35.

Kai-da JIANG,Si-yu ZHANG,Qiang SUN. Research on tracking DDoS based on NTP reflection amplification attack[J]. Journal on Communications, 2014, 35(Z1): 31-35.

图/表 5

表1

表2

图1

表3

表4

参考文献 9

[1]	Matthew prince,technical details behind a 400 Gbit/s NTP amplification DDoS attack[EB/OL]. .
[2]	CNCERT. 关于警惕近期多发NTP反射放大攻击的预警通报[EB/OL]. .CNCERT. On guard against recent multiple NTP reflection/ amplification attacks alert notification[EB/OL]. .
[3]	洪海 DDoS 放大攻击原理及防护方法[EB/OL]. . HONG H DDoS amplification attacks principles and protective methods[EB/OL]. .
[4]	KUHRER M , HUPPERICH T , ROSSOW C ,et al. Exit from hell? reducing the impact of amplification DDoS attacks[A]. 23rd USENIX Security Symposium[C]. San Diego,California, 2014.
[5]	Christian Rossow,amplification hell:revisiting network protocols for DDoS abuse[A]. 21st Network and Distributed System Security Symposium[C]. San Diego,California, 2014.
[6]	JENKINS Q . Answers about recent DDoS attack on spamhaus[EB/OL]. .
[7]	DURUMERIC Z , BAILEY M J , HALDERMAN A . An internet-wide view of internet-wide scanning[A]. 23rd USENIX Security Symposium， San Diego,California, August 2014.
[8]	WALT KELLY P . ntpq-standard NTP query program[EB/OL]. .
[9]	IANA. IANA IPv4 address space registry[EB/OL]. .

remote address	port	local address	count	m	ver	rstr	avgint	lstint
87.78.66.249	80	101.227.12.9	9 596	7	2	0	0	0
64.15.129.232	80	101.227.12.9	6 480	7	2	0	0	0
108.17.9.156	80	101.227.12.9	7 523	7	2	0	0	0
46.165.210.131	80	101.227.12.9	350	7	2	0	0	0
46.165.210.148	80	101.227.12.9	1 186	7	2	0	0	2
71.203.68.184	8 080	101.227.12.9	219	7	2	0	21	5
173.32.98.151	80	101.227.12.9	164	7	2	0	3	6
107.170.223.127	80	101.227.12.9	131	7	2	0	15	83
37.221.210.15	27 226	101.227.12.9	11 676	7	2	0	0	223
91.121.60.36	3 306	101.227.12.9	1 622	7	2	0	0	233
192.210.150.174	27 226	101.227.12.9	942	7	2	0	3	245
86.19.247.107	5 223	101.227.12.9	10 878	7	2	0	0	671

NTP服务器	数量
有返回时间信息	1 806 173
有返回版本信息	43 813
有返回系统信息	183 034
有返回CPU 类型	43 498
支持monlist指令	13 628

源端口	出现次数	百分比/%	对应不同IP数量
80	139 138 322	54.01	261 023
3 074	21 937 198	8.52	68 604
5 223	9 486 832	3.68	25 845
53	6 151 737	2.39	21 727
22	4 394 336	1.71	6 224
25 565	4 308 035	1.67	6 286
123	3 009 873	1.17	43 476
3 040	2 451 088	0.95	3 101
27 015	2 418 990	0.94	3 063
8 080	2 261 423	0.88	6 629

网站IP数量	国家/地区	百分比/%
95 028	美国	36.41
24 067	法国	9.22
19 369	英国	7.42
15 144	加拿大	5.80
12 565	德国	4.81
10 852	澳大利亚	4.16
8 701	巴西	3.33
8 073	荷兰	3.09
5 930	俄罗斯	2.27
4 167	波兰	1.60

[1]	陈兴蜀,滑强,王毅桐,葛龙,朱毅. 云环境下SDN网络低速率DDoS攻击的研究[J]. 通信学报, 2019, 40(6): 210-222.
[2]	钱红燕,薛昊,陈鸣. UDM：基于NFV的防止DDoS攻击SDN控制器的机制[J]. 通信学报, 2019, 40(3): 116-124.
[3]	田俊峰,齐鎏岭. SDN中基于条件熵和GHSOM的DDoS攻击检测方法[J]. 通信学报, 2018, 39(8): 140-149.
[4]	何亨,胡艳,郑良汉,薛正元. 云环境中基于SDN的高效DDoS攻击检测与防御方案[J]. 通信学报, 2018, 39(4): 139-151.
[5]	吴志军,崔奕,岳猛. 基于虚拟散列安全访问路径VHSAP的云计算路由平台防御DDoS攻击方法[J]. 通信学报, 2015, 36(1): 30-37.
[6]	姜开达，章思宇，孙强. 基于NTP反射放大攻击的DDoS追踪研究[J]. 通信学报, 2014, 35(Z1): 7-35.
[7]	张兆心,杜跃进,李斌,张宏莉. SIP代理服务器抗拒绝服务攻击自防御模型[J]. 通信学报, 2009, 30(4): 93-99.
[8]	田俊峰,朱宏涛,孙冬冬,毕志明,刘倩. 基于用户信誉值防御DDoS攻击的协同模型[J]. 通信学报, 2009, 30(3): 12-20.
[9]	严芬,陈轶群,黄皓,殷新春. 使用补偿非参数CUSUM方法检测DDoS攻击[J]. 通信学报, 2008, 29(6): 128-134.
[10]	吴志军,张东. 低速率DDoS攻击的仿真和特征提取[J]. 通信学报, 2008, 29(1): 71-76.
[11]	黄宝峰. 基于历史标记的IP追踪方案[J]. 通信学报, 2006, 27(11A): 85-87.