Con estos ataques de reflexión, la IP de origen debería ser la IP del servidor vulnerable. Entonces, ¿los nodos que ven cantidades anormales de datos NTP no pueden agregar la fuente a una lista negra y, por lo tanto, mitigar el ataque?
Espero que cualquier servicio de protección DDoS decente (Prolexic, CloudFlare, etc.) haga exactamente lo que sugiere.
Si considera una presencia web básica, donde el sitio tiene un ancho de banda limitado a Internet, una lista negra en el sitio no ayuda. Todo el tráfico NTP saturará el enlace, por lo que no importa que el firewall en el sitio descargue inmediatamente el tráfico, todavía interfiere con los usuarios legítimos. Esta es la razón por la que necesita un filtrado en sentido ascendente para mitigar un ataque DDoS.
Lea otras preguntas en las etiquetas dns attack-prevention ntp reflection