NTP reflection attack 2
Published: 2014/01/18
観測ポイントにもよると思いますが、14の爆発レベルのものはきてません。
ほとんどがmode 7ですがmode 6の場合もあります。
やはりリサーチ系のリクエストが継続してたくさん届いていますが、
リサーチ系のリクエストも「そのNTPサーバーが過去にやりとりしたことのあるIP」として記憶されてしまい、増幅の種をつくることに加担することになるので厄介です。
ということで先日の大量のソースアドレスは増幅の種を作る攻撃順のための改ざんパケットであった可能性も高いです。
UDPなので改ざんさていても受け取ってしまうわけで、それがリサーチなのか攻撃準備なのか、本当の攻撃なのかを判別することはとてもむずかしいです。ソースIPあたりのリクエスト数で判断するしかないかなと。
いつものことですがリサーチ系のトラフィックも含めてブロックしてしまったほうが良いです。