最新資訊

NTP 放大攻擊是一種利用網路時間協定(NTP)伺服器「小請求換取大回應」特性,發動的大規模 DDoS 反射型攻擊。攻擊者透過偽造來源 IP,向開放的 NTP 伺服器發送特殊指令,迫使伺服器將數十倍甚至數百倍的流量導向受害者,造成頻寬耗盡與服務中斷。

MULTI-CDN
百科學習

【DDoS攻擊】NTP 放大攻擊是什麼?攻擊原理與情境|Skycloud

【DDoS攻擊】NTP 放大攻擊是什麼?攻擊原理與情境|Skycloud
2025-08-15

NTP 放大攻擊是一種利用網路時間協定(NTP)伺服器「小請求換取大回應」特性,發動的大規模 DDoS 反射型攻擊。攻擊者透過偽造來源 IP,向開放的 NTP 伺服器發送特殊指令,迫使伺服器將數十倍甚至數百倍的流量導向受害者,造成頻寬耗盡與服務中斷。


目錄

➤NTP 放大攻擊是什麼
 ➤NTP 放大攻擊原理
 ➤NTP 放大攻擊情境
 ➤如何防禦 NTP 放大攻擊


NTP 放大攻擊是什麼


 網路時間協定(Network Time Protocol, NTP),是一種基於 UDP 傳輸層埠號 123 的應用層協定,用於在網路中的主機之間進行系統時間同步。

 NTP 放大攻擊(NTP Amplification Attack) 則是一種反射型的 DDoS 分散式阻斷服務攻擊,屬於反射型放大攻擊(Reflection Amplification Attack)類型。攻擊者會利用 NTP 網路時間協定伺服器的「回應資料量遠大於請求資料量」的特性,將小流量的請求轉換成十倍甚至上百倍的大流量,放大並導向攻擊目標,造成網路擁塞與服務中斷的目的。

 NTP 放大攻擊的放大倍率可達 20~200 倍,例如攻擊者發送 60 Bytes 的請求,NTP 伺服器回傳數 KB 到數十 KB 的資料,如果使用數千台 NTP 伺服器,總流量可迅速達到 Gbps 級別。

 其造成的影響除了系統停擺、服務中斷,更可能造成...

  • 頻寬被耗盡 :網站或伺服器無法處理正常流量

  • 服務中斷:API、網站、應用系統停擺

  • 連鎖反應:影響同網段或同數據中心的其他服務

  • 防禦困難:流量來自真實 NTP 伺服器,難以直接封鎖單一來源


NTP 放大攻擊原理


 在 NTP 網路時間協定中,monlist 指令能讓伺服器回傳最近與其互動過的客戶端清單,最多可包含 600 筆紀錄,而攻擊者會利用這個特性,偽造來源 IP 位址,將 monlist 請求發送給多台 NTP 伺服器,由於伺服器會將這批龐大的回應資料傳送到被偽冒的 IP,受害主機便會在短時間內接收大量資料封包,造成頻寬被佔滿,導致系統過載、服務中斷。


NTP放大攻擊步驟

  1. 攻擊者準備階段
    攻擊者會尋找開放且未加固的 NTP 公開伺服器,這種伺服器通常版本老舊並啟用 monlist 等易被濫用的指令。

  2. 偽造來源 IP
    在發送 NTP 請求時,將封包的來源 IP 偽裝成受害者的 IP。

  3. 觸發高流量回應
    利用 monlist 或其他回傳大量資料的指令,讓 NTP 伺服器回傳比請求大數十倍的資料。

  4. 放大效應
    多台 NTP 伺服器同時向受害者 IP 回傳龐大資料,造成頻寬耗盡、伺服器過載並服務中斷。

NTP 放大攻擊

NTP 放大攻擊情境


 現在我們用兩個簡單的生活情境來比喻 NTP 放大攻擊,讓讀者可以更容易理解。


情境一:假外送訂單

有人惡作劇(攻擊者)打電話給十幾家餐廳(NTP伺服器)並假裝是你(受害者),接著假裝你下單要求送十人份的豪華套餐(monlist 大量回應)到你家。

結果每家餐廳真的都一次送來十幾份餐點,因此短時間內,你家門口就塞滿了外送員,既擋住門口又讓你手忙腳亂,還得面對一大堆你根本沒點的餐點。


情境二:信箱被塞爆

有人冒用你的地址(攻擊者),向各個公司(NTP伺服器)索取免費型錄、廣告資料和各種樣品(monlist 大量資料回傳)。

由於每家公司寄出的資料眾多、型錄也都是厚厚一大疊,都比請求信件大出好幾倍(封包回應資料量大於請求),因此你的信箱(受害者)在短短幾天就被塞爆,甚至溢出來,導致你收不到重要的信件和包裹。


如何防禦 NTP 放大攻擊


 要如何預防 NTP 放大攻擊,我們可以分成伺服器端、網路端雲端防護三個層面進行防禦。


伺服器端防禦

主要是要確保自己的 NTP 伺服器不會被利用當成攻擊的放大器。

  1. 關閉 monlist 功能

  2. 限制查詢來源

  3. 更新 NTP 版本
    最新的 NTP 版本的已知漏洞已被修補,monlist 已被 mrulist 取代,並預設關閉,安裝最新的 NTP 版本可避免已知漏洞被利用。


網路端防禦

防止外部 NTP 攻擊流量進入或流出你的網路。

  1. 封鎖不必要的 UDP 123 流量
    若業務不需要對外提供 NTP,直接在防火牆封鎖外部 UDP 123 埠。

  2. 啟用出口過濾
    防止內部設備對外發送來源 IP 偽造的 UDP 封包,避免成為別人攻擊的幫兇。

  3. 流量監控與異常警報
    使用流量分析工具,偵測異常 UDP 123 流量,及早攔截。


雲端防護

防範大規模的 NTP 放大流量直接衝擊目標伺服器。

  • 使用 DDoS 防護服務
    如 Cloudflare、Akamai、Skycloud 等,能在邊緣節點吸收與過濾 NTP 洪水流量。

  • 流量清洗
    由上游網際網路服務供應商,如Skycloud,在流量進入你的網路前就攔截異常 UDP 123 流量。

  • BGP 黑洞路由(Blackhole Routing)
    當特定 IP 受到攻擊時,暫時將流量導入黑洞,保護其他服務可用性。

騰雲運算的 DDoS/CC 防禦服務,為您的網路業務提供強大的安全保障,立即點擊下方按鈕,與我們聯繫,預約體驗騰雲運算專業的防禦能力。


立即諮詢

資料參考:twcert|分散式阻斷服務攻擊(DDoS)趨勢與防護

延伸閱讀:
【DDoS攻擊】SSDP攻擊是什麼?SSDP 放大攻擊原理、情境與防禦一次看
【DDoS攻擊】DNS放大攻擊是什麼?攻擊原理、情境比喻與防禦方法
【DDoS攻擊】多向量攻擊是什麼?原理、情境比喻與防禦方法
LAND 攻擊是什麼?攻擊原理、情境與防禦
【DDoS 攻擊】死亡之 Ping 攻擊

返回上頁