Chúng tôi đang đối phó với một cuộc tấn công khuếch đại / phản xạ NTP tại các máy chủ được tạo ra của chúng tôi. Câu hỏi này là cụ thể để trả lời các cuộc tấn công phản chiếu NTP và không hướng vào DDoS nói chung.
Đây là lưu lượng:
Đó là một chút CPU trên bộ định tuyến của chúng tôi:
Thật không may, nó không đủ lớn để khiến nhà cung cấp thượng nguồn của chúng tôi làm tắc nghẽn lưu lượng, điều đó có nghĩa là nó đi qua chúng tôi.
Chúng tôi đã sử dụng quy tắc sau để chặn lưu lượng NTP, bắt nguồn từ cổng 123:
-p udp --sport 123 -j DROP
Đây là quy tắc đầu tiên trong IPTables.
Tôi đã tìm kiếm rất nhiều và tôi không thể tìm thấy nhiều thông tin về cách sử dụng IPTables để giảm thiểu cuộc tấn công phản chiếu NTP. Và một số thông tin ngoài kia dường như không chính xác. Quy tắc IPTables này có đúng không? Có bất cứ điều gì khác mà chúng tôi có thể thêm hoặc làm để giảm thiểu cuộc tấn công khuếch đại / phản xạ NTP ngoài việc liên hệ với nhà cung cấp mạng ngược dòng của chúng tôi không?
Ngoài ra: vì những kẻ tấn công này phải sử dụng các mạng
- cho phép giả mạo địa chỉ IP trong các gói
- chưa được chỉnh sửa, vào khoảng năm 2010 mã NTP
Có bất kỳ trung tâm thanh toán bù trừ toàn cầu nào mà chúng tôi có thể báo cáo các địa chỉ IP này để chúng được sửa chữa để ngừng cho phép các gói giả mạo và vá các máy chủ NTP của chúng không?