反射攻击解决办法

《反射攻击解决办法》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、解决办法一SSDP服务放大分布式拒绝服务（1900端口）1.关闭系统服务a)在Windows下以管理员身份运行cmd.exe，并执行以下命令：scconfigSSDPSRVstart=DISABLEDb)在桌面上右击“计算机”，在“服务和应用程序”中点击“服务”，找到“SSDPDiscovery”服务，双击后该服务后选择“禁用”选项。2.防火墙拦截a)在Windows系统操作如下：在“开始”-“控制面板”-“Windows防火墙”-“高级设置”中，分别在“入站规则”和“出站规则”中加入一条新的规则，新建规则操作如下：点击“新建规则”，选

2、择“端口”和“下一步”，选择“UDP”，并在“特定远程端口中”输入“1900”，点击“下一步”，选择“阻止连接”和“下一步”，选择“域”、“专业（P）”、“公用（U）”和“下一步”，在名称中输入“SSDPDiscovery”，并点击“完成”。b)在Linux系统操作如下：1）打开/etc/sysconfig/iptables文件（操作以CENTOS为例），在文件中加入如下规则：-AINPUT-pudp-mudp--sport1900-jDROP-AINPUT-pudp-mudp--dport1900-jDROP-AOUTPUT-pudp

3、-mudp--sport1900-jDROP-AOUTPUT-pudp-mudp--dport1900-jDROP2）最后重启防火墙#serviceiptablesrestartc)在边界防火墙上拦截目的或者源端口为1900的所有UDP报文。配置示例：CiscoACLaccess-list102denyudpanyanyeq1900access-list102denyudpanyeq1900any二NTP服务放大分布式拒绝服务（123端口）1.Linux系统[3，4]【方案1】升级现有ntpd版本Linux系统中的ntpd4.2.6.x

4、及此前的版本存在“monlist”请求漏洞，该漏洞可以被攻击者利用进行反射放大攻击。而ntpd4.2.7p26及之后的版本关闭了REQ_MON_GETLIST和REQ_MON_GETLIST_1请求功能。升级到ntpd4.2.7p26或更高版本可以避免针对该漏洞的攻击。【方案2】禁用或限制状态查询首先查询问题主机的REQ_MON_GETLIST和REQ_MON_GETLIST_1请求是否可用。具体操作方法：ntpq-crvntpdc-csysinfo

5、ntpdc-n-cmonlist如果上述功能可用，可尝试通过修改ntp.conf文件解决问题，具体操作建议是在上述配置文件中增加下面的配置：IPV4: restrictdefaultkodnomodifynotrapnopeernoqueryIPv6: restrict-6defaultkodnomodifynotrapnopeernoquery/*允许发起时间同步的IP，与本服务器进行时间同步，但是不允许修改ntp服务信息，也不允许查询服务器的状态信息（如monlist）*/另外，还可以配置

6、限制访问命令，如：restrictdefaultnoquery/*允许普通的请求者进行时间同步，但是不允许查询ntp服务信息*/对更具体的配置功能的需求，请查阅参考文献[3,4]修改并保存配置文件之后，请重启ntpd服务。2.WindowsServer系统[3]在ntp.conf配置文件中增加（或修改）“disablemonitor”选项，可以关闭现有NTP服务的monlist功能。修改并保存配置文件之后，请重启ntpd服务3.为路由器或防火墙配置过滤条件具体配置方案请参考具体的设备产品使用文档或参考文献[5]。三Chargen服务放大

7、分布式拒绝服务（19端口）1.关闭系统服务Linux系统l在/etc/inetd.conf文件中注释掉'chargen'服务l或者在/etc/xinetd.d/目录下将chargen服务对应的文件中的"disable"属性改为"yes"。Window系统Chargen服务属于Windows系统中的SimpTCP服务，一般情况下Windows系统缺省不会安装该服务，如果已经安全该服务，可以通过如下几种方式关闭服务a)通过控制面板中的Service管理程序b）通过修改注册表通过注册表编辑器将以下两项表项的值设为0HKLMSystemCu

8、rrentControlSetServicesSimpTCPParametersEnableTcpChargenHKLMSystemCurrentControlSetServicesSimp