NTP 증폭 공격을 방지하려면 신뢰할 수 있는 호스트만 접속할 수 있도록 NTP 서버를 신중하게 설정해야 합니다. 또한 신뢰할 수 없는 소스에서 의심스러운 요청이 오지 않는지 시스템의 사용자 활동을 모니터링해야 합니다. NTP 증폭 공격을 방지하기 위한 몇 가지 모범 사례로 NTP 서버에서 익명 바인딩을 비활성화하고, ACL(Access Control List) 또는 방화벽을 통해 알려진 호스트 또는 네트워크에만 접속하도록 제한하고, 외부 소스에서 오는 비정상적인 요청이 있는지 사용자 트래픽을 면밀히 모니터링하고, 악성 트래픽이 네트워크에 도달하기 전에 차단할 수 있도록 시스템에 전송률 제한을 설정하는 방법 등이 있습니다. 또한 보안 패치를 최신 상태로 유지해 시스템의 잠재적인 취약점을 신속하게 차단해야 합니다.

관리자는 들어오는 모든 트래픽 패턴을 면밀히 모니터링해 진행 중인 공격을 탐지하고, 외부 소스에서 들어오는 요청이 갑자기 증가하거나 급증하는 경우 공격이 진행 중임을 나타낼 수 있으므로 주의해야 합니다. 침입 탐지 시스템에서 생성된 모니터링 로그로 증폭 공격의 시도 가능성도 밝혀낼 수 있습니다. 공격자가 정상적인 네트워크 호스트 또는 방화벽 테이블에 나열된 주소와 일치하지 않는 가짜 값으로 소스 IP 주소를 스푸핑할 경우 일반적으로 여러 오탐 알림이 생성되기 때문입니다.

활성 NTP 증폭 공격의 경우에는 그 영향을 방어하고 가능한 경우 공격의 출처를 파악하기 위해 필요에 따라 악용 인시던트를 신고하는 등 가해자에 대해 적절한 조치를 취할 수 있도록 신속히 대응해야 합니다. 모범 사례에는 IDS·IPS 로그를 통해 수집한 정보로 방화벽에서 의심스러운 소스 차단, 업스트림 링크에 속도 제한 설정, 패킷 속도 조절, 역방향 경로 전달 확인과 같은 스푸핑 방지 조치 구축, IPsec VPN 터널과 같은 애플리케이션 레이어 방어 솔루션 배포, 네트워크를 작은 섹션으로 세그멘테이션, 사전 정의된 룰에 따라 트래픽 필터링, 적절한 패치 관리, 해당하는 경우 ISP·CDN과 협력, 클라이언트에서 사용하는 TTL 임계치 감축, 공격 발생 중 변동 사항 추적, 지속적인 로그 모니터링이 등이 있습니다.

공격이 이미 발생한 경우 복구를 위해서는 먼저 위에서 설명한 방어 조치를 배포해 서비스를 복구하는 동시에 적절한 보안 설정 없이 온라인에 노출된 취약한 서비스 등 공격자의 접속을 허용하는 근본 원인을 파악해야 합니다. 여기서 우선순위를 정하면 관리자가 감염된 리소스에 대한 제어권을 신속하게 회복하는 동시에 전반적인 보안 설정을 더욱 강화하는 데 필요한 조치를 취해 향후 유사한 공격이 발생할 가능성을 줄일 수 있습니다.