反射攻击解决办法.docVIP

解决办法 一 SSDP服务放大分布式拒绝服务（1900端口） 关闭系统服务 a)在Windows下以管理员身份运行cmd.exe，并执行以下命令： sc config SSDPSRV start= DISABLED b)在桌面上右击“计算机”，在“服务和应用程序”中点击“服务”，找到“SSDP Discovery”服务，双击后该服务后选择“禁用”选项。 防火墙拦截 a)在Windows系统操作如下： 在“开始”-“控制面板”-“Windows防火墙”-“高级设置”中，分别在“入站规则”和“出站规则”中加入一条新的规则，新建规则操作如下：点击“新建规则”，选择“端口”和“下一步”，选择“UDP”，并在“特定远程端口中”输入“1900”，点击“下一步”，选择“阻止连接”和“下一步”，选择“域”、“专业（P）”、“公用（U）”和“下一步”，在名称中输入“SSDP Discovery”，并点击“完成”。 b)在Linux系统操作如下： 1）打开/etc/sysconfig/iptables文件（操作以CENTOS为例），在文件中加入如下规则： -A INPUT -p udp -m udp --sport 1900 -j DROP -A INPUT -p udp -m udp --dport 1900 -j DROP -A OUTPUT -p udp -m udp --sport 1900 -j DROP -A OUTPUT -p udp -m udp --dport 1900 -j DROP 2）最后重启防火墙 #service iptables restart c)在边界防火墙上拦截目的或者源端口为1900的所有UDP报文。配置示例： Cisco ACL access-list 102 deny udp any any eq 1900 access-list 102 deny udp any eq 1900 any 二 NTP服务放大分布式拒绝服务（123端口） Linux系统[3，4] 【方案1】升级现有ntpd版本 Linux系统中的ntpd 4.2.6.x及此前的版本存在monlist”请求漏洞该漏洞可以被攻击者利用进行反射放大攻击REQ_MON_GETLIST和REQ_MON_GETLIST_1请求升级到 【方案2】禁用或限制状态查询 首先查询问题主机的 ntpq -c rvlocalhost/remotehost ntpdc -c sysinfolocalhost/remotehost ntpdc -n -c monlistlocalhost/remotehost 如果上述功能尝试解决 IPV4:?restrict default kod nomodify notrap nopeer noquery IPv6:?restrict -6 default kod nomodify notrap nopeer noquery /*允许发起时间同步的IP，与服务器进行时间同步，但是不允许修改ntp服务信息，也不允查询服务器的状态信息（如monlist另外还可以限制访问如 restrict default noquery /*允许普通的请求者进行时间同步，但是不允许查询ntp服务信息 Windows Server系统 具体配置方案请参考具体的设备产品使用文档或参考文献[5]。 三 Chargen服务放大分布式拒绝服务（19端口） 关闭系统服务 Linux系统 在/etc/inetd.conf 文件中注释掉chargen 服务 或者在/etc/xinetd.d/ 目录下将chargen服务对应的文件中的disable 属性改为 yes。 Window系统 Chargen服务属于Windows系统中的SimpTCP服务，一般情况下Windows系统缺省不会安装该服务，如果已经安全该服务，可以通过如下几种方式关闭服务 a) 通过控制面板中的Service管理程序 b） 通过修改注册表 通过注册表编辑器将以下两项表项的值设为0 HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpChargen HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpChargen c) 通过命令行执行net程序 net stop simptcp net start simptcp 防火墙拦截 在边界防火墙上拦截目的或者源端口为19的所有报文。配置示例： Cisco ACL access-list 102 deny tcp any any eq 19 access-list 102 deny tcp