Блокируем NTP DDOS

[ivb1232]

Многие абоненты имеют на своих устройствах:

роутеры, приставки открытые всем "ветрам" NTP сервера.

 

Чем любят пользоваться плохие люди для организации DDOS.

 

Что бы усложнить жизнь этим плохим людям, принимаем меры.

 

Направляем входящий NTP трафик на отдельный Linux сервер:

 

from {

protocol udp;

destination-port 123;

}

then {

routing-instance ntp-redirect;

}

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

Нормальные NTP запросы и ответы проходят нормально.

Попытки DDOS фильтруются.

[YuryD]

Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик

[Butch3r]

Да eltex приставки очень любят атаковать всех )))

[YuryD]

Примерно так, подвержены видеорегистраторы unimo, с включенным ntp и имеющие реальный ip-адрес или находящиеся в dmz.

[g3fox]

Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик

 

У нас тоже есть несколько клиентов с какими-то китайскими регистраторами. На самом регистраторе нельзя закрыть порт или отключить NTP.

Мы в качестве самого простого решение предложили клиентам ставить за свой счёт какие-либо роутеры, и делать на них проброс только конкретных портов.

[ivb1232]

Да, приставки - самые активные участники ботнета.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Часть атак можно отсечь просто пакетным фильтром,

запретить все SRC UDP порты < 1024 (кроме 123) в направлении UDP 123.

[darkagent]

Class-map: ntpdos (match-all)
 1063 packets, 59058 bytes
 30 second offered rate 0000 bps, drop rate 0000 bps
 Match: start l3-start offset 11 size 1 regex "\x2A"
 Match: field UDP dest-port eq 123

на брасах как-то скромненько все

[ivb1232]

Запросы то скромненько, в мегабиты укладываются.

А вот ответы, уже, гигабиты исходящего.

[YuryD]

После общения с видеорегистраторщиками, а они в свою очередь со своей техподдержкой понял - новой прошивки дождаться будет не скоро. Выводы - не садите регистраторы на реальный IP или в dmz. Только проброс необходимых портов.

[ilili]

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

 

Не в курсе, как эту строчку для ipfw сделать? ))

[st_re]

на современном этапе такая вот конструкция

00004       1785989        64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in
00004          4055          576036 deny udp from any 123 to any iplen 1-40,300-1500 in
00004        663615        23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in

 

проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные)

[xcme]

Поясните в чем соль проблемы? В monitor/monlist?

[darkagent]

http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack

[YuryD]

на современном этапе такая вот конструкция

00004       1785989        64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in
00004          4055          576036 deny udp from any 123 to any iplen 1-40,300-1500 in
00004        663615        23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in

 

проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные)

 

Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента.

[st_re]

Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента.

 

Это IN. если бы оно долетало и там бы отвечали то out был бы *204 практически в 3-й колонке ;)

Правила появились с воскресенья вечера на сколько я в курсе.. Это не совсем мое, там пара абонентов участвовало в NTP ддосе. Абонентов вроде как выключили-проапгрейдили-настроили, т.е. сами по себе они перестали отзываться на эту хрень, но запросы прут в таких вот количествах и наверное переть еще будут какоето время. правила повесили уже после решения проблем с самими абонентами для профилактики новых.

 

Я видел up to 100 мб исхода с 1 хоста с 3-мя IP. и гдето 40-45 с хоста с 1 IP.

[NikAlexAn]

Мне вот интересно - вроде для атаки используются запросы с поддельным адресом источника.

 

В таком случае если дизайн Вашей сети не позволяет подделанному пакету выйти наружу то вроде бы достаточно для снятия большей части проблемы просто заблокировать входящие пакеты из мира на 123 udp порт абонентов.

 

Или я что то ещё упустил?

[st_re]

Тогда легитимные ответы на легитимные запросы клиента не будут к нему возвращаться. Штатно запросы ходят 123-123 порт. Для ддоса запросы с 123 порта тоже ходят. Для тех кто только 123-123 и пускает

[f13]

Штатно запросы ходят 123-123 порт.

нет, сервер на 123, а клиент может на любом

[st_re]

ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024..

[NikAlexAn]

ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024..

А если

разрешить

локалка любой порт -> мир 123

мир 123 -> локалка 123

Запретить

мир любой порт -> локалка 123

остальное разрешить

 

Большая часть нелигитимного трафика отрежется ведь.

[dmvy]

Ntp клиент, который сидит за nat будет иметь src port отличный от 123.

[Ivan_83]

Большая часть нелигитимного трафика отрежется ведь.

Вы правда думаете что такой примитив с портом остановит тех кто подменяет src ip?

[DVM-Avgoor]

Дак а не пофиг ли? Клиент оплатил полосу, пусть пользуется. :D

[st_re]

2 DVM-Avgoor. Не пофиг. Лично мне глубоко похер на клиента оплатившего или не оплатившего полосу. Не он таргет атаки. (мало того, в массе своей он вообще не страдает от этого, разве что шейпер его шейпит чуть больше обычного. ) А вот оказаться на месте реального получателя этого говна я не хочу. И сделаю все от меня зависящее, чтобы сократить объемы дерьма в сторону реальных пострадавших.

[DVM-Avgoor]

Не пофиг.

 

А провести беседы с целью убрать нтп с открытого доступа?

Защищаться от ДДОС дело тяжелое и не благодарное, в этом вам никак не поможет хитрый способ прикрыть клиентам нтп...