Protection contre une attaque NTP amplification : comment mitiger ce DDoS

Définition du problème

Une amplification NTP exploite des serveurs de temps exposés. L’attaquant usurpe l’adresse de la victime et provoque des réponses UDP/123 qui reviennent vers elle, parfois depuis de nombreux serveurs réels.

Même si les anciens abus de type monlist sont aujourd’hui mieux connus, le principe reste dangereux : la cible reçoit des réponses qu’elle n’a jamais demandées. Le filtrage doit donc vérifier le sens du flux et le contexte de la destination.

Pourquoi c’est important

NTP paraît secondaire, mais une vague UDP/123 peut saturer un port, augmenter les pertes et rendre instables des services sans lien direct avec l’heure. Pour un serveur de jeu ou une offre dédiée, le client voit surtout des timeouts.

Les environnements réseau sérieux dépendent aussi d’une horloge correcte pour logs, supervision, TLS et corrélation d’incident. Il ne faut donc pas confondre protection contre l’abus NTP et blocage aveugle de tous les usages temporels légitimes.

Les solutions possibles

La mesure la plus propre consiste à ne pas exposer de vieux serveurs NTP permissifs et à limiter l’accès aux services internes. Mais la victime ne contrôle pas toujours les serveurs utilisés comme réflecteurs.

Côté cible, la mitigation doit filtrer les réponses UDP/123 inattendues en amont, contrôler les tailles, les ports source/destination et réduire les vagues avant que le lien client ne soit rempli.

Design opérationnel pour Protection contre une attaque NTP amplification

Peeryx traite NTP amplification comme un vecteur UDP identifiable. Quand le client ne fournit pas de service NTP public, les règles peuvent être strictes et rapides ; si NTP est utile, elles sont contextualisées.

Le trafic nettoyé peut ensuite être livré par BGP, GRE/IPIP/VXLAN, cross-connect ou VM routeur. Pour les services gaming, l’objectif est que le bruit NTP soit supprimé avant d’impacter la latence joueur.

Cas concret d’utilisation

Imaginez un serveur dédié hébergeant une communauté FiveM. Le serveur n’utilise pas NTP publiquement, mais son IP reçoit une vague UDP/123. Le firewall local voit arriver des paquets inutiles pendant que les joueurs perdent la connexion.

Avec Peeryx, cette vague est traitée avant le chemin client. Les réponses NTP incohérentes sont retirées, puis le trafic nécessaire au jeu ou à l’administration est relivré normalement avec une observation claire du volume bloqué.

Erreurs fréquentes

La première erreur est de répondre uniquement côté serveur. Si le port ou le tunnel est saturé, la règle locale ne reçoit déjà plus le trafic utile. La deuxième est de bloquer sans regarder les services réellement exposés.

Une autre erreur est de ne pas surveiller les paquets par seconde. Une attaque NTP peut gêner par le volume, mais aussi par le nombre de paquets et les files d’attente qu’elle provoque sur les équipements.

Pourquoi choisir Peeryx pour ce risque DDoS

Peeryx est pertinent lorsque l’IP publique doit rester joignable malgré un vecteur UDP/123 : transit IP protégé, serveur dédié, tunnel vers infrastructure existante ou protection gaming.

L’avantage vient de la combinaison entre capacité amont, règles précises et relivraison propre. Le client ne dépend pas d’un simple firewall local placé après le point de saturation.

• L’amplification NTP exploite des réponses disproportionnées et nécessite un filtrage qui ne casse pas le NTP légitime.

FAQ