大部分系統 ntpd 預設配置檔案都有一個問題，當啟用之後，容易被利用參與 DDoS 放大攻擊。其中的 MONLIST 指令可以回傳該 ntp server 最近聯繫之 ntp server (通常為對時用)，若是搭配偽造的 IP address，攻擊者可以創造出類似 DNS 放大攻擊的效果。

CloudFlare 前陣子被 DDoS 攻擊，經查之後發現接近 400 Gbps 的流量是來自於接近 4,500 台的 NTP server 導致的。

於此網站可以查詢有啟動 ntp，可能遭到利用的主機：http://openntpproject.org/ 輸入 IP address range (例：140.115.189.0/24) 可查詢整個網段。

建議各位停用系統中的 ntpd，改用 ntpdate (client only)。 UPDATE: 設定 ntpd 為較好的做法，ntpdate 為過時之工具，參考資料：https://lists.debian.org/debian-user/2002/12/msg04091.html

修改方法為編輯 /etc/rc.conf

ntpd_enable="YES"

編輯 /etc/ntp.conf

server time.stdtime.gov.tw
server watch.stdtime.gov.tw

#反註解，設定不讓他人查詢
restrict default ignore
restrict -6 default ignore
restrict time.stdtime.gov.tw nomodify nopeer noquery notrap
restrict watch.stdtime.gov.tw nomodify nopeer noquery notrap

同時，也可將 ntpdate 放進 crontab，每日自動對時。

參考資料：http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack