10.02.2014 10:35, Vladislav V. Prodan пишет:
в tcpdump'e
10:29:52.345940 IP (tos 0x0, ttl 69, id 0, offset 0, flags [DF], proto
UDP (17), length 36)
109.163.232.229.23756 > XXX.XXX.XX2.67.123: [no cksum] NTPv2, length 8
Reserved, Leap indicator: (0), Stratum 0 (unspecified), poll
3s, precision 42
Root Delay: 0.000000 [|ntp]
Хз как распаковать запрос и вычислить жертву.
В итоге жертве идет куча ответов по ntp
В ntpd.conf:
...
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
disable monitor
Это мало помогает, если сервер open NTP и входит в пул NTP.org
Мне помогло, сервер настроен на отдельный NTP
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks
--
Alexander
