Kami sedang menghadapi serangan refleksi / amplifikasi NTP di server yang kami buat. Pertanyaan ini khusus untuk menanggapi serangan refleksi NTP, dan tidak ditujukan pada DDoS secara umum.
Inilah traffic:
Ini mengaduk sedikit CPU di router kami:
Sayangnya itu tidak cukup besar untuk menyebabkan penyedia hulu kami membuat lubang lalu lintas, yang berarti melewati kami.
Kami telah menggunakan aturan berikut untuk memblokir lalu lintas NTP, yang berasal dari port 123:
-p udp --sport 123 -j DROP
Ini adalah aturan pertama dalam IPTables.
Saya banyak mencari, dan saya tidak dapat menemukan banyak informasi tentang cara menggunakan IPTable untuk mengurangi serangan refleksi NTP. Dan beberapa informasi di luar sana kelihatannya tidak benar. Apakah aturan IPTables ini benar? Apakah ada hal lain yang dapat kita tambahkan, atau lakukan, untuk mengurangi serangan refleksi / amplifikasi NTP selain menghubungi penyedia jaringan hulu kami?
Juga: karena penyerang ini harus menggunakan jaringan itu
- memungkinkan spoofing alamat IP dalam paket
- telah membuka, sekitar kode NTP 2010
adakah clearinghouse global tempat kita dapat melaporkan alamat IP ini, sehingga mereka diperbaiki untuk berhenti mengizinkan paket palsu, dan menambal server NTP mereka?