NTP放大攻击是一种基于反射的体积分布式拒绝服务(DDoS)攻击，其中攻击者利用网络时间协议(NTP)服务器功能，以便用一定数量的UDP流量压倒目标网络或服务器，使常规流量无法访问目标及其周围的基础设施。

NTP放大攻击如何工作？

所有放大攻击都利用了攻击者与目标Web资源之间的带宽成本差异。当在许多请求中放大成本差异时，由此产生的流量可能会破坏网络基础设施。通过发送导致大量响应的小查询，恶意用户可以从更少的内容获得更多。当具有在每个机器人这个倍数乘以僵尸网络进行类似的请求，攻击者是从检测既混淆和收获大大提高了攻击流量的好处。

DNS泛洪攻击与DNS放大攻击不同。与DNS泛洪不同，DNS放大攻击反映和放大不安全的DNS服务器上的流量，以隐藏攻击的起源并提高其有效性。DNS放大攻击使用带宽较小的设备向不安全的DNS服务器发出大量请求。这些设备对非常大的DNS记录提出了许多小请求，但在发出请求时，攻击者伪造的返回地址是预期受害者的地址。放大允许攻击者仅使用有限的攻击资源来获取更大的目标。

NTP放大，就像DNS放大一样，可以被认为是一个恶意的少年打电话给餐馆并说“我将拥有一切，请给我回电话并告诉我我的整个订单。”当餐厅要求时一个回叫号码，给出的号码是目标受害者的电话号码。然后，目标接收来自餐馆的电话，其中包含许多他们未请求的信息。

网络时间协议旨在允许Internet连接的设备同步其内部时钟，并在Internet体系结构中发挥重要作用。通过利用在某些NTP服务器上启用的monlist命令，攻击者能够将其初始请求流量相乘，从而产生较大的响应。默认情况下，在旧设备上启用此命令，并使用已对NTP服务器发出的请求的最后600个源IP地址进行响应。来自其内存中具有600个地址的服务器的monlist请求将比初始请求大20