Перейти к содержимому
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку.

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни.

Если применить аналогию - это дропанье говна на доступе, а не на ядре.

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если применить аналогию - это дропанье говна на доступе, а не на ядре.

 

Спасибо, так и делаем. Но я не уверен, что так делают все провайдеры. Поэтому рано или поздно, каждый из нас может стать счастливым обладателем этого говна извне.

Так что вопрос актуален: какова длина левого пакета? И имеют ли NTP v3/4 такую уязвимость?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

Вам лишь бы ничего не делать :)

Ну вот заблочили везде спуфинг, по всему миру. (фантастика). Потом кому то захотелось кого то обрушить, и он будучи инженером прова/гос служащим с доступом взял и поимел весь мир.

Представьте что это ваш конкурент вас так положил, в вашем идеальном мире где провайдеры блочат спуфинг но не блочат всякие ntp/dns.

 

Тут лечится нужно сразу разными средствами и везде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

объясните попроще пожалуйста, что надо зафильтровать что-бы только легетимный ntp работал :)

например подскажите конкретный ACL для cisco 7301 :)

Изменено пользователем mcdemon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И имеют ли NTP v3/4 такую уязвимость?

 

Вот отсюда получается, что уязвимость есть.

 

Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).

 

Думаем дальше...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его.

Изменено пользователем micol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s.

 

А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его.

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s.

 

А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили.

нам тоже тут на днях на бордер 6г прилетело :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

 

Походу его все уже выгнали все конкуренты :)

От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

 

Походу его все уже выгнали все конкуренты :)

От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью)

а вы включите ))) На словах то все герои, а на деле 128к в наше время это ад))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах.

 

P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным.

Изменено пользователем secandr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах.

 

P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным.

DDoS не от нас а к нам. В 10Гбит/с линк укладывает 10Гбит/с с N млн. пакетов/сек NTP трафика в сторону нашего реальника.

Думаю пояснять что в этот момент кричат матом роутеры и L3 коммутаторы не надо?)

 

А закрыться от этого только blackhole, но это не выход. Выход избавить сеть от магнита этого дерьмотрафика. Ибо клавиатурный воин на взрослых дядечек навыёживается, а нам отдувайся...

 

Короче приостанавливаем ему услуги, мотивируем форс-мажором и 401 ГК РФ и соотв. пунктом оферты... Письмо счастья по почте с уведомлением...

Изменено пользователем micol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это временная мера.

Нужно искать решение чтобы внешние факторы не влияли на договорные отношения с абонентами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут такой момент, что абоненты всякие бывают.

Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут такой момент, что абоненты всякие бывают.

Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь.

Ну вот опять очередной видеорегистратор вылез с ntp. Это не помойка - и с этим ничего не сделать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прилетело сегодня от NTP-серверов хз сколько.

Вот неужели сложно фильтровать спуфинг прямо на доступе??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Святая наивность.

Не все подключены к домашнему интернету, есть ещё датацентры всякие и прочая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю на днях сделаю просто на коммутаторе в который у меня линк с аплинком, сделать ACL на udp/123 который будет полисить общую скорость до 64кбит на вход и на выход.

Для легитимных запросов должно хватить думаю и ничего страшного если изза ддосов они не пройдут сейчас, а пройдут через час.

правильно? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

правильно?

Нет.

ntp-пакеты маленькие, они и на небольшом канале могут DoS сделать.

Нужно лимитировать pps, если коммутатор позволяет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Многие абоненты имеют на своих устройствах:

роутеры, приставки открытые всем "ветрам" NTP сервера.

 

Чем любят пользоваться плохие люди для организации DDOS.

 

Что бы усложнить жизнь этим плохим людям, принимаем меры.

 

Направляем входящий NTP трафик на отдельный Linux сервер:

 

from {

protocol udp;

destination-port 123;

}

then {

routing-instance ntp-redirect;

}

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

Нормальные NTP запросы и ответы проходят нормально.

Попытки DDOS фильтруются.

 

 

первая строчка для Джуна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интенсивных запросов изнутри не нашли.

Только полный идиот будет устраивать целенаправленную ddos атаку на хост, находящийся за тем же провайдером. Почитайте на досуге как ntp ddos работает, и все вопросы отпадут. Может оказаться и так, что инициатор атаки и вовсе находится за пределами материка ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Идиотов, в том числе полных, среди наших сограждан, в том числе абонентов, достаточно. У нас был один такой смешной чудак, вот и на этот раз подумали, что возможен рецидив. Механизм работы как раз понятен. Непонятны мотивы и цели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.