两台PC，安装Ubuntu 操作系统，一台作为攻击端，另一台作为NTP 反射服务器（已安装NTP 服务）。一台服务器，作为被攻击目标服务器。

在进行实验之前，需对NTP 反射服务器进行配置，Ubuntu 系统下，需修改/etc/ntp.conf 配置文件，保证monlist字段没有被禁用，修改配置完成后需重启NTP 服务使其生效。实验拓扑如图3 所示。

图3 NTP 反射放大攻击实验拓扑图

3.2 实验流程

步骤1：攻击端利用ntpdate-q 命令向NTP 反射服务器发送查询请求，伪造NTP 客户端。

参照实验拓扑图，具体查询命令为：ntpdate-q 。

步骤2：攻击端利用脚本工具伪造至少600 个客户端。

由于实验环境限制，我们只搭建了一台NTP 反射服务器，在实验条件允许的情况下，可搭建多台NTP 服务器形成反射群，能够达到更好的反射放大攻击效果。基于现有实验拓扑环境，我们通过脚本工具重复步骤1 中的查询命令，每次查询模拟的源IP 地址都不相同，直到伪造600 个客户端IP 为止。

步骤3：攻击端伪造客户端完成之后，在攻击端利用命令查询服务器，可查看到600 个IP。

参照实验拓扑图，具体查询命令为：ntpdc -n -c monlist | wc 查询IP 详情，或添加参数-l，直接查询客户端IP 数量，具体命令为：ntpdc -n -c monlist| wc -l。

步骤4：攻击端伪造源IP 为（被攻击服务器的IP 地址）的ntp monlist 消息，发送至NTP 反射服务器。

步骤5：NTP 反射服务器响应monlist，返回与NTP 服务器进行过时间同步的最后600 个客户端的IP，发送响应报文至被攻击目标服务器，响应报文按照每6 个为1 个响应包进行分割，最多有100 个响应包，达到反射放大攻击的目的。

3.3 数据包分析

从图4 中我们可以看到每个响应包为482 字节，我们请求包的大小为234 字节，按照这个数据计算出的放大倍数为：482*100/234=206 倍。如果通过编写攻击脚本，请求包会更小，这个倍数值会更大，反射放大攻击的效果也会更好。

图4 NTP 响应数据包分析图

通过上述分析可知，本文的实验方案环境搭建简单、操作易上手，不局限于一种局域网环境或网络设备，只需几台PC 和路由器即可，非常适合我校计算机网络技术及其相关专业的实验教学。教师可根据具体教学目标指导学生在课堂进行NTP 反射放大攻击实验，同时引导学生利用所学知识开展攻防对抗并验证防御效果，形成理论与实践相结合的授课模式。在此实验环境的基础上，可进一步丰富反射放大攻击实验类型，搭建实验仿真平台，提升学生对网络攻防的兴趣度，培养其成为掌握网络攻防技能的专业型、实用型人才。

4 防御策略

基于对NTP 反射放大型DDoS 攻击的过程及原理分析，除常规防护DDoS 的方法（如限速、黑名单）之外，还可采取以下防护策略：

（1）加固NTP 服务：升级服务器至最新版本，关闭NTP 服务器的monlist 功能。

（2）在网络层或借助运营商实施ACL 过滤规则进行防护。

（3）使用抗DDoS 设备或通过购买DDoS 云清洗服务进行防护。

（4）消除NTP 反射服务器站点：反射放大型DDoS 的攻防对抗是一场持久战，我们需要联合各方资源政府、运营商、安全厂商、标准组织、终端用户，对网络中的NTP 服务器设备进行安全管理和配置，同时及时更新升级软硬件版本，以减少和消除反射站点。

5 结 论

文章对NTP 反射放大攻击原理进行了介绍，搭建实验环境并分析协议存在的漏洞，然后对关键问题提出针对性的防御方案。对于NTP 反射型DDoS 攻击，只有通过业界各方齐心协力、协同作战，才能实现进一步的有效治理。在以后的工作中，我们将继续研究新型反射放大DDoS 攻击，挖掘新的可用于反射放大的网络协议，如Memcached、BitTorrent、CLDAP、Kad 等，针对不同协议类型，分析协议漏洞，进而探索更有效的防御技术和方案。

[1] 鲍旭华，洪海，曹志华.破坏之王：DDoS 攻击与防范深度剖析 [M].北京：机械工业出版社，2014：61-69.

[2] 刘旭东.基于NTP 的DDoS 攻击方法与防御研究 [J].网络安全技术与应用，2019（10）：17-19.

[3] 周文烽.UDP 反射攻击检测与响应技术研究 [D].南京：东南大学，2018.

[4] 孙建.基于小波分析的NTP 放大反射攻击检测与防御研究 [D].保定：河北大学，2017.

[5] 陈飞，毕小红，王晶晶，等.DDoS 攻击防御技术发展综述 [J].网络与信息安全学报，2017，3（10）：16-24.