Observo la actividad de la red y me doy cuenta de una gran cantidad de tráfico NTP que supuestamente envía cargas útiles de más de 100K bytes de datos y recibe la misma cantidad de vuelta.
Muestra representativa de una carga útil mayor:
192.168.x.x 123 66.207.226.14 123 1,165,384 1,165,384
Mi primer pensamiento fue la reflexión de NTP, pero el consenso sobre eso parece ser una pequeña carga útil debe enviarse para que una gran respuesta se aproveche en un destinatario falso. Sin embargo, esto fue relevante hace 4 años y me pregunto si lo que estoy viendo ahora es una nueva forma novedosa de abuso de NTP (que se devuelve al remitente porque los servidores de destino no son vulnerables).
No estoy seguro de qué hacer con esto y no tengo que confirmar pcap. ¿Algún pensamiento?