Jump to content
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

Многие абоненты имеют на своих устройствах:

роутеры, приставки открытые всем "ветрам" NTP сервера.

 

Чем любят пользоваться плохие люди для организации DDOS.

 

Что бы усложнить жизнь этим плохим людям, принимаем меры.

 

Направляем входящий NTP трафик на отдельный Linux сервер:

 

from {

protocol udp;

destination-port 123;

}

then {

routing-instance ntp-redirect;

}

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

Нормальные NTP запросы и ответы проходят нормально.

Попытки DDOS фильтруются.

Share this post


Link to post
Share on other sites

Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик

Share this post


Link to post
Share on other sites

Да eltex приставки очень любят атаковать всех )))

Share this post


Link to post
Share on other sites

Примерно так, подвержены видеорегистраторы unimo, с включенным ntp и имеющие реальный ip-адрес или находящиеся в dmz.

Share this post


Link to post
Share on other sites

Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик

 

У нас тоже есть несколько клиентов с какими-то китайскими регистраторами. На самом регистраторе нельзя закрыть порт или отключить NTP.

Мы в качестве самого простого решение предложили клиентам ставить за свой счёт какие-либо роутеры, и делать на них проброс только конкретных портов.

Share this post


Link to post
Share on other sites

Да, приставки - самые активные участники ботнета.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Часть атак можно отсечь просто пакетным фильтром,

запретить все SRC UDP порты < 1024 (кроме 123) в направлении UDP 123.

Share this post


Link to post
Share on other sites

Class-map: ntpdos (match-all)
 1063 packets, 59058 bytes
 30 second offered rate 0000 bps, drop rate 0000 bps
 Match: start l3-start offset 11 size 1 regex "\x2A"
 Match: field UDP dest-port eq 123

на брасах как-то скромненько все

Share this post


Link to post
Share on other sites

Запросы то скромненько, в мегабиты укладываются.

А вот ответы, уже, гигабиты исходящего.

Share this post


Link to post
Share on other sites

После общения с видеорегистраторщиками, а они в свою очередь со своей техподдержкой понял - новой прошивки дождаться будет не скоро. Выводы - не садите регистраторы на реальный IP или в dmz. Только проброс необходимых портов.

Share this post


Link to post
Share on other sites

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

 

Не в курсе, как эту строчку для ipfw сделать? ))

Share this post


Link to post
Share on other sites

на современном этапе такая вот конструкция

00004       1785989        64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in
00004          4055          576036 deny udp from any 123 to any iplen 1-40,300-1500 in
00004        663615        23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in

 

проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные)

Share this post


Link to post
Share on other sites

на современном этапе такая вот конструкция

00004       1785989        64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in
00004          4055          576036 deny udp from any 123 to any iplen 1-40,300-1500 in
00004        663615        23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in

 

проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные)

 

Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента.

Share this post


Link to post
Share on other sites

Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента.

 

Это IN. если бы оно долетало и там бы отвечали то out был бы *204 практически в 3-й колонке ;)

Правила появились с воскресенья вечера на сколько я в курсе.. Это не совсем мое, там пара абонентов участвовало в NTP ддосе. Абонентов вроде как выключили-проапгрейдили-настроили, т.е. сами по себе они перестали отзываться на эту хрень, но запросы прут в таких вот количествах и наверное переть еще будут какоето время. правила повесили уже после решения проблем с самими абонентами для профилактики новых.

 

Я видел up to 100 мб исхода с 1 хоста с 3-мя IP. и гдето 40-45 с хоста с 1 IP.

Share this post


Link to post
Share on other sites

Мне вот интересно - вроде для атаки используются запросы с поддельным адресом источника.

 

В таком случае если дизайн Вашей сети не позволяет подделанному пакету выйти наружу то вроде бы достаточно для снятия большей части проблемы просто заблокировать входящие пакеты из мира на 123 udp порт абонентов.

 

Или я что то ещё упустил?

Share this post


Link to post
Share on other sites

Тогда легитимные ответы на легитимные запросы клиента не будут к нему возвращаться. Штатно запросы ходят 123-123 порт. Для ддоса запросы с 123 порта тоже ходят. Для тех кто только 123-123 и пускает

Share this post


Link to post
Share on other sites

Штатно запросы ходят 123-123 порт.

нет, сервер на 123, а клиент может на любом

Share this post


Link to post
Share on other sites

ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024..

Share this post


Link to post
Share on other sites

ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024..

А если

разрешить

локалка любой порт -> мир 123

мир 123 -> локалка 123

Запретить

мир любой порт -> локалка 123

остальное разрешить

 

Большая часть нелигитимного трафика отрежется ведь.

Share this post


Link to post
Share on other sites

Ntp клиент, который сидит за nat будет иметь src port отличный от 123.

Share this post


Link to post
Share on other sites
Большая часть нелигитимного трафика отрежется ведь.

Вы правда думаете что такой примитив с портом остановит тех кто подменяет src ip?

Share this post


Link to post
Share on other sites

2 DVM-Avgoor. Не пофиг. Лично мне глубоко похер на клиента оплатившего или не оплатившего полосу. Не он таргет атаки. (мало того, в массе своей он вообще не страдает от этого, разве что шейпер его шейпит чуть больше обычного. ) А вот оказаться на месте реального получателя этого говна я не хочу. И сделаю все от меня зависящее, чтобы сократить объемы дерьма в сторону реальных пострадавших.

Share this post


Link to post
Share on other sites

Не пофиг.

 

А провести беседы с целью убрать нтп с открытого доступа?

Защищаться от ДДОС дело тяжелое и не благодарное, в этом вам никак не поможет хитрый способ прикрыть клиентам нтп...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this