Sto osservando alcune attività di rete e ho notato un sacco di presunti traffico NTP che inviava payload di 100K + byte di dati e ne riceveva lo stesso importo indietro.
Esempio rappresentativo di un carico utile più grande:
192.168.x.x 123 66.207.226.14 123 1,165,384 1,165,384
Il mio primo pensiero è stato la riflessione NTP, ma il consenso su ciò sembra essere un piccolo carico utile che dovrebbe essere inviato in modo che una grande risposta venga sfruttata da un destinatario contraffatto. Tuttavia questo è stato rilevante 4 anni fa e mi chiedo se quello che sto vedendo ora è qualche nuova forma romanzo di abuso NTP (che viene restituito al mittente perché i server di destinazione non sono vulnerabili?).
Non sono sicuro di cosa farne e non ho papcap da confermare. Qualche idea?