多家DDoS防護供應商都表示，在2014年前幾個月，基于NTP的分布式拒絕服務(DDoS)攻擊急劇增加。但據另一份報告稱，SYN洪水攻擊對企業更具破壞性。

上周基于云的DDoS防護服務供應商Incapsula公司發布了2013-2014 DDoS攻擊威脅環境報告，該報告指出，在2013年12月，NTP DDoS攻擊數量還不到大型SYN洪水攻擊的一半。

然而，這種數量差距正在縮小。Incapsula保護的網站在2月份經歷了大量NTP DDoS攻擊;超過了此期間內發生的大型SYN洪水攻擊。該公司甚至擴大了其報告范圍來記錄這一趨勢。總體而言，基于NTP的攻擊占該公司在其客戶網站檢測到的所有網絡DDoS攻擊的15%。

Incapsula并不是唯一發現這個NTP攻擊趨勢的DDoS防護供應商。Prolexic公司(現在屬于Akamai Technologies公司)單在2月份就看到針對其客戶的這種攻擊激增371%。

網絡時間協議(NTP)是用來跨計算機網絡同步時間的互聯網標準，該協議已經成為攻擊者有吸引力的目標，因為它可以用來放大DDoS攻擊。客戶端系統會ping到NTP服務器來發起時間請求更換，同步通常每隔10分鐘發生。

DDoS防護供應商CloudFlare公司的John Graham-Cumming在1月份發表的博客文章寫道，從NTP服務器發回到客戶端的數據包可能比初始請求大幾百倍。相比之下，通常用于放大攻擊中的DNS響應被限制僅為8倍的帶寬。

NTP DDoS攻擊：曇花一現還是會持續?

NTP并不是新的協議，為什么現在引起這么多關注呢?

Incapsula公司產品推廣者Igal Zeifman將DDoS攻擊中使用NTP描述為“曇花一現”，這種熱潮源自于最近幾起利用該協議的成功攻擊以及隨后媒體的關注。

這個問題可以追溯到1月中旬，US-CERT發布了關于利用CVE-2013-5211的NTP放大攻擊的警示公告，CVE-2013-5211基本上允許攻擊者利用偽造的“MON_GETLIST”請求來DDoS攻擊目標。這會造成NTP服務器發送給攻擊者潛在受害者名單，即連接到服務器的最后600個IP地址。

在一個月后，CloudFlare擊退了針對某個客戶的NTP放大DDoS攻擊，據稱，其峰值帶寬略低于400Gbps。在CloudFlare事件發生的數天后，Arbor Networks公司確認其觀察到峰值速率達到325Gbps的NTP放大攻擊。

盡管可能會有更多攻擊者利用NTP的優勢，Zeifman表示，部署了DDoS保護的企業沒必要恐慌，而沒有采用第三方供應商來處理大規模DDoS攻擊的企業則應該警惕此類攻擊。

“高容量NTP流量非常可疑，并且也很容易被忽視，”Zeifman表示，“你不需要復雜的DDoS防護服務來阻止NTP驅動的洪水。”

根據Zeifman表示，企業更應該擔心典型的SYN洪水攻擊，因為SYN數據包在網絡上更為常見。即使是專門的DDoS防護服務供應商也非常難以區分惡意流量和合法流量。

他指出，SYN洪水攻擊仍然是使用最廣泛的的DDoS技術。在Incapsula的報告中，正常的大規模SYN洪水攻擊占所有網絡DDoS攻擊的一半，而在峰值速率達到20Gbps或以上的DDoS攻擊中，大規模SYN洪水攻擊達到半數以上。

更令人擔憂的是，該報告表示，五分之四的DDoS攻擊至少使用兩種技術，正常的和大規模SYN洪水攻擊共占這些多向量DDoS攻擊的75%。

正常的SYN洪水攻擊是這樣實現的：攻擊者通過偽造IP地址發送大量SYN數據包到服務器，這樣，相應的ACK響應永遠不會發送回來完成TCP三次握手，這意味著攻擊者可以占用服務器的所有開放連接。

Zeifman表示，另一方面，大規模SYN洪水攻擊則專注于通過大量流量來堵塞網絡管道。這兩種技術的結合能夠讓攻擊者涵蓋所有方面。

“如果DDoS攻擊比喻成闖入一所房子，那么，這種技術就像是試圖同時從前門和側面窗戶來入侵，”Zeifman表示，“攻擊者希望這兩方面至少有一個沒受保護。”