前言
本节学习NTP放大攻击
1、简介
Network Time Protocol
- 保证网络设备时间同步
- 电子设备互相干扰导致时钟差异越来越大,影响应用正常运行、日志审计不可信
- 服务端口UDP 123
攻击原理
- NTP 服务提monlist (MON_GETLIST) 查询功能,监控NTP 服务器的状况
- 客户端查询时,NTP服务器返回最后同步时间的600 个客户端IP,每6个IP一个数据包,最多100个数据包(放大约100倍)
2、攻击尝试
服务器ubantu
IP:192.168.1.115
#安装 ntp
apt-get install ntp
netstat -tulnp | grep 123
攻击者kali
#扫描发现 ntp 服务器
nmap -sU -p 123 192.168.1.0/24 --open
nmap -sU -p 123 -sV 192.168.1.115
#扫描发现漏洞
ntpdc -n -c monlist 192.168.1.115
192.168.1.115: timed out, nothing received
***Request timed out # 说明不存在漏洞
服务器ubantu
#配置 ntp 服务器配置
vi /etc/ntp.conf
#注释 38 和 39行
# restrict -4 default kod notrap nomodify nopeer noquery limited
# restrict -6 default kod notrap nomodify nopeer noquery limited #把这两行注释掉
/etc/init.d/ntp restart
攻击者kali
#扫描发现漏洞
ntpdc -n -c monlist 192.168.1.115
ntpq -c rv 192.168.1.115
ntpdc -c sysinfo 192.168.1.115