前言：

首先说明下什么是反射放大***？

NTP是用UDP传输的，所以可以伪造源地址。

NTP协议中有一类查询指令，用短小的指令即可令服务器返回很长的信息。放大***就是基于这类指令的。比如，小明以吴一帆的名义问李雷“我们班有哪些人？” 李雷就回答吴一帆说“有谁谁谁和谁谁谁……”(几百字)那么小明就以8个字的成本，令吴一帆收到了几百字的信息，所以叫做放大***。网络上一般NTP服务器都有很大的带宽，***者可能只需要1Mbps的上传带宽欺骗NTP服务器，即可给目标服务器带来几百上千Mbps的***流量，达到借刀杀人的效果。所以现在新的ntpd已经可以通过配置文件，关掉除时间同步以外的查询功能。而时间同步的查询和返回大小相同(没记错的话)，所以没办法用作放大***。

下面阐述一下ntp服务器异常情况：

ntp服务器为物理服务器，内网和外网各一个网卡，直接接在接入交换机。

互联网流量高，通过查看交换机端口流量，发现 ntp服务器所连接的接入交换机端口流量异常，shutdown该端口，流量正常。下图为春节期间 互联网流量图   

通过分析，

 这次的******总结起来有二点原因：

1.      防火墙没有起作用，ACL策略有没有配置，暴漏于公网的主机必须限制访问网段；

2.      驻地云有没有抗DDOS***的等相关安全设备，暴漏于公网的主机必须及时做安全加固；

解决方法：

被***的数据端口：UDP 123端口。

一、加固NTP服务：

修改配置：vi /etc/ntp.conf   #说明：此ntp服务器系统为centos5.5系统，其他系统路径可能不同。

1.首先默认拒绝client所有的操作，代码: 

restrict default kod nomodify notrap nopeer noquery   #或restrict default ignore

restrict -6 default kod nomodify notrap nopeer noquery    #拒绝 IPv6 的用戶

2. 然后允许本机地址一切的操作，代码:

restrict 127.0.0.1

restrict -6 ::1     # IPv6，

3.然后允许局域网内某个IP段能否进行时间同步操作，代码：

restrict 10.120.189.0 mask 255.255.255.0 nomodify

4.重启ntp服务.

Centos配置示例如下图：

重要：若不需要NTP服务，请关闭NTP服务，需要同步时间使用命令同步：

#ntpdate 192.168.100.254  && hwclock --systohc

可以把这条命令加到crontab中，定期执行

*/30 * * * * ntpdate 192.168.100.254  && hwclock –systohc  > /dev/null 2>&1 ##每30分钟同步一次，并同步硬件时间

 其他加固：

1. 把NTP服务器升级2. 关闭现在NTP服务的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”选项3. 在网络出口封禁 UDP 123 端口二、防御NTP反射和放大***1. 由于这种***的特征比较明显，所以可以通过网络层或者借助运营商实施ACL来防御2. 使用防DDoS设备进行清洗

以上解决方案，对于我来说：

1、关闭现在NTP服务的 monlist 功能，在ntp.conf配置文件中增加“disable monitor”选项：实践证明这个方法是非常有效的！

2、在网络出口封禁 UDP 123 端口：

因为很多设备需要向这台被***的服务器进行时钟同步，所以封禁UDP 123端口对我来说是不现实的。

3、通过网络层或者借助运营商实施ACL来防御：

因为涉及生产系统，而且在不精通防火墙、的情况下，没有考虑增加ACL规则策略来防御NTP***。

 

希望看到的同行们能给出更好的意见，欢迎你们给提供更好的解决方案！