Russian Users MikroTik | Форум пользователей MikroTik

Вот Вам задачка на сообразительность :)
Есть NTP клиент\сервер, поднятый на роутере. Соответственно они доступны всем. Так-же мы имеем особенность NTP, которая позволяет отправить серверу запрос длинное 44 байта с поддельный адресом отправителя и получить ответ в несколько КБ на адрес, который даже не запрашивал этот пакет (одна из распространённый DDoS атак). Ещё одной особенность NTP является то, что как запрос так и ответ приходят всегда на порт UDP123.

Внимание вопрос (Что в чёрном ящике): Как организовать защиту нашего NTP серера, не прибегая к конкретным IP адресам публичных NTP?
Следующий вариант полностью блокирует работает NTP клиента:

Николай, а Вы хитро поступили , задали условие и ещё и сократили решение, описав заранее об подмене адресации,
тут уж почти и нет решений, если так всё серьёзно, как Вы описали. Решение вернее есть, но оно уже за рамки выходит микротика как такового:
Если формально NTP на роутере так можно скомпроментировать, тогда надо NTP службу не ставить вовсе,
оставляем встроенный SNTP функционал и "натравливаем" его на какой то эталонный сервер NTP в локальной сети (скажем на линуксе/винде).
Внутри сети задержки минимальны, с внешней стороны роутер атаковать по 123 порту нет смысла, порта открытого нет, так как сервер NTP не ставили мы.

(ну и попутно вопрос: если NTP в роутере уязвим, почему его не пофиксят? На основном форуме микротиковском, на сколько мне позволяет
мой средний английский, читаю там по прошивкам, про NTP не так часто там появляются возмущения, писалось пару раз и вроде всё.)

(если я не так понял условия задачи, извиняйте, )

Всё правильно поняли :)
Ставить на компе NTP сервер не интересно как-то, а что касается уязвимости.. Это по большей части особенность и пофиксить её не меняя сам протокол - почти нереально, да и мало кто знает о такой особенности, т.к. особо и не задавались вопросом.