killonik Опубликовано 25 сентября, 2014 · Жалоба Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно. Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 25 сентября, 2014 · Жалоба Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку. Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 25 сентября, 2014 · Жалоба Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно. Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Если применить аналогию - это дропанье говна на доступе, а не на ядре. Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
killonik Опубликовано 25 сентября, 2014 · Жалоба Если применить аналогию - это дропанье говна на доступе, а не на ядре. Спасибо, так и делаем. Но я не уверен, что так делают все провайдеры. Поэтому рано или поздно, каждый из нас может стать счастливым обладателем этого говна извне. Так что вопрос актуален: какова длина левого пакета? И имеют ли NTP v3/4 такую уязвимость? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 сентября, 2014 · Жалоба Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть. Вам лишь бы ничего не делать :) Ну вот заблочили везде спуфинг, по всему миру. (фантастика). Потом кому то захотелось кого то обрушить, и он будучи инженером прова/гос служащим с доступом взял и поимел весь мир. Представьте что это ваш конкурент вас так положил, в вашем идеальном мире где провайдеры блочат спуфинг но не блочат всякие ntp/dns. Тут лечится нужно сразу разными средствами и везде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 26 сентября, 2014 (изменено) · Жалоба объясните попроще пожалуйста, что надо зафильтровать что-бы только легетимный ntp работал :) например подскажите конкретный ACL для cisco 7301 :) Изменено 26 сентября, 2014 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
killonik Опубликовано 29 сентября, 2014 · Жалоба И имеют ли NTP v3/4 такую уязвимость? Вот отсюда получается, что уязвимость есть. Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5). Думаем дальше... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 13 ноября, 2014 (изменено) · Жалоба За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его. Изменено 13 ноября, 2014 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 13 ноября, 2014 · Жалоба За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 14 ноября, 2014 · Жалоба За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его. на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит. За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили. нам тоже тут на днях на бордер 6г прилетело :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 14 ноября, 2014 · Жалоба на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит. Походу его все уже выгнали все конкуренты :) От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 14 ноября, 2014 · Жалоба на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит. Походу его все уже выгнали все конкуренты :) От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью) а вы включите ))) На словах то все герои, а на деле 128к в наше время это ад)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 14 ноября, 2014 (изменено) · Жалоба А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах. P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным. Изменено 14 ноября, 2014 пользователем secandr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 14 ноября, 2014 (изменено) · Жалоба А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах. P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным. DDoS не от нас а к нам. В 10Гбит/с линк укладывает 10Гбит/с с N млн. пакетов/сек NTP трафика в сторону нашего реальника. Думаю пояснять что в этот момент кричат матом роутеры и L3 коммутаторы не надо?) А закрыться от этого только blackhole, но это не выход. Выход избавить сеть от магнита этого дерьмотрафика. Ибо клавиатурный воин на взрослых дядечек навыёживается, а нам отдувайся... Короче приостанавливаем ему услуги, мотивируем форс-мажором и 401 ГК РФ и соотв. пунктом оферты... Письмо счастья по почте с уведомлением... Изменено 14 ноября, 2014 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 ноября, 2014 · Жалоба Это временная мера. Нужно искать решение чтобы внешние факторы не влияли на договорные отношения с абонентами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 ноября, 2014 · Жалоба Тут такой момент, что абоненты всякие бывают. Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 ноября, 2014 · Жалоба Тут такой момент, что абоненты всякие бывают. Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь. Ну вот опять очередной видеорегистратор вылез с ntp. Это не помойка - и с этим ничего не сделать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 11 декабря, 2014 · Жалоба Прилетело сегодня от NTP-серверов хз сколько. Вот неужели сложно фильтровать спуфинг прямо на доступе?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 декабря, 2014 · Жалоба Святая наивность. Не все подключены к домашнему интернету, есть ещё датацентры всякие и прочая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 декабря, 2014 · Жалоба Я думаю на днях сделаю просто на коммутаторе в который у меня линк с аплинком, сделать ACL на udp/123 который будет полисить общую скорость до 64кбит на вход и на выход. Для легитимных запросов должно хватить думаю и ничего страшного если изза ддосов они не пройдут сейчас, а пройдут через час. правильно? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 декабря, 2014 · Жалоба правильно? Нет. ntp-пакеты маленькие, они и на небольшом канале могут DoS сделать. Нужно лимитировать pps, если коммутатор позволяет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 12 декабря, 2014 · Жалоба Многие абоненты имеют на своих устройствах: роутеры, приставки открытые всем "ветрам" NTP сервера. Чем любят пользоваться плохие люди для организации DDOS. Что бы усложнить жизнь этим плохим людям, принимаем меры. Направляем входящий NTP трафик на отдельный Linux сервер: from { protocol udp; destination-port 123; } then { routing-instance ntp-redirect; } На Linux добавляем "волшебную" строчку: iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP Нормальные NTP запросы и ответы проходят нормально. Попытки DDOS фильтруются. первая строчка для Джуна? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 13 августа, 2015 · Жалоба вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 13 августа, 2015 · Жалоба интенсивных запросов изнутри не нашли. Только полный идиот будет устраивать целенаправленную ddos атаку на хост, находящийся за тем же провайдером. Почитайте на досуге как ntp ddos работает, и все вопросы отпадут. Может оказаться и так, что инициатор атаки и вовсе находится за пределами материка ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 13 августа, 2015 · Жалоба Идиотов, в том числе полных, среди наших сограждан, в том числе абонентов, достаточно. У нас был один такой смешной чудак, вот и на этот раз подумали, что возможен рецидив. Механизм работы как раз понятен. Непонятны мотивы и цели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...