Skip to content

yeyi913/ntp-ddos

 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

3 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

需要有一台ISP没做源地址验证,支持IP Spoof的服务器。很难很难找,但是我有,但是为了防止滥用,就不公开了(doge)。如果有需要的话,那就自己慢慢交学费吧。

还需要shodan的API,这边提供了shodan寻找有monlist漏洞的ntp服务器技巧,我是用会员API KEY写的脚本,非会员的话就修改一下search.py中的search_and_save函数

# 从shodan中下载ntp 服务器清单
python search.py

# 查找ntp放大倍率高的服务器
python top.py

跑出一份top.txt后,但是实际上top.txt中的ntp服务器很多依然是不可用的,需要将top.txt同时上传到攻击机和模拟受害机实测一下

#模拟受害机
tcpdump -i eth0 udp -w 1.cap

#攻击机
python3 test.py

#模拟受害机,查看抓包的结果。(顺序)输出所有在1.cap中出现次数超过10次且同时存在于top.txt中的ip
tshark -r 1.cap -T fields -e ip.src -Y 'ntp' | sort | uniq -c | sort -n | awk '$1 > 10' | grep -F -f top.txt | awk '{ print $2 }' > final.txt

测试峰值带宽:

#模拟受害机
tcpdump -i eth0 udp -w 2.cap

#攻击机
python3 attack.py

2.cap用wireshark打开:统计—>I/O图表,Y轴改成Bytes,就可以测算峰值带宽了

PS:测试阿里/腾讯服务器貌似不能成功,存在 NTP 的反射防护策略。抓包了一下攻击流量(腾讯云服务器运行nmap -sU -pU:123 -Pn -n --script=ntp-monlist <存在monlist漏洞的ntp服务器ip>),可以看到返回的ip是内网的ip。

About

NTP反射放大DDOS研究

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published

Languages

  • Python 100.0%