Перейти к содержимому
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли.

Насколько помню там на цель прилетали ответы от нтп серверов на которые запросы шли якобы с адреса цели.

К вам то ответы прилетали или запросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток.

Как отбивались, если не секрет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пакеты валились только на один ip, мы его убрали из роутинга, стало полегче, потом попросили аплинков временно закрыть трафик на этот ip. ну и впредь закрыли большие ntp пакеты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится..

 

Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента.

NTPv3 и v4 работают 123-123 и клиент и сервер.

 

В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123.

 

А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно.

При DDOS размеры пакетов больше.

 

 

 

Вопрос длинны пакета так и не был раскрыт....

Мож кто внесет ясность в данный вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос длинны пакета так и не был раскрыт....

Мож кто внесет ясность в данный вопрос?

 

ntp ampl гуглите. Суть простая - любой дырявый ntpserver способен в ответ на кривой короткий запрос, сгенерить ответ в 650 раз больше, причем это udp. Вывод - фильтруйте все запросы извне на ntp из блока клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я вас правильно понял, ACL правило:

deny udp any host X.X.X.X 0.0.0.255 eq 123

permit any any

должно спасти от напасти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я вас правильно понял, ACL правило:

deny udp any host X.X.X.X 0.0.0.255 eq 123

permit any any

должно спасти от напасти?

Если исходить из того, что у клиентов в принципе не может быть валидного ntp-сервера... У меня киска своя для ntp внутри лежит, для неё allow, остальным - deny. Кому точное время надо - пишите запрос, дам ip сервера... С этой хренью я на видеорегистраторах дырявых похлебал.... Нее, узел не лёг, лежали каналы клиентов в полку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому точное время надо - пишите запрос, дам ip сервера...

 

 

Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам,

тогда уж напрашиваются два варианта:

1. Завернуть на свой ntp север, ntp запросы хомяков.

Первая мысль - прозрачный прокси, но это не комильфо...

Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей.

2. Изменить DNS запись, к топовым ntp серверам на свой IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем такие сложности ? Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому точное время надо - пишите запрос, дам ip сервера...

 

Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам,

тогда уж напрашиваются два варианта:

1. Завернуть на свой ntp север, ntp запросы хомяков.

Первая мысль - прозрачный прокси, но это не комильфо...

Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей.

2. Изменить DNS запись, к топовым ntp серверам на свой IP.

3 вариант -раздавать по dhcp своим абонам свой ntp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

 

Никак, у мелкософт свой протокол, не совсем ntp. Есть список ntp серверов, и если хотите иметь стратум крутой - к ним пишите запрос, на тему а не могу ли я у вас время для себя брать ? В свое время со стратумом 2 писал запросы - дали... теперь имею стратум 3, что мои железки вполне пережевывают, мне микросекунды на нужны...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

в dhcp ответе передаем option time-servers ip-address

и time.windows.com меняется на свой сервак

на xp работает 100%

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье.

Господа, позвольте обратиться с вопросом!?

Может быть конечно хочется странного, но

можно ли организовать подобную схему через

class-map и policy-map

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

в dhcp ответе передаем option time-servers ip-address

и time.windows.com меняется на свой сервак

на xp работает 100%

пробовал на 7ке, не менялся

но может я не так что-то сделал...

но даже еслибы это работало, у большинства абонов роутеры. и соответственно компьютер не получит ntp через dhcp от провайдера

Изменено пользователем mcdemon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё смешалось: люди, кони...

 

Резать ntp из инета к абоненту - значит уменьшать исходящий трафик от абонента (предотвращение амплификации).

Резать абонентский ntp - оставлять его без синхронизации/сервиса.

Если очень хочется/колется можно порезать пакетрейт на юдп 123 от клиента, скажем до 10 пакетов в секунду, это не сломает ничего радикально но зловредам нагадит сильно.

 

 

как свой NTP может откликнуться на time.windows.com ?

Добавляешь в свой ДНС запись на свой ип.

Либо резолвишь ихний и все запросы к нему натишь на свой.

Обычная схема, ничего нового.

 

 

Никак, у мелкософт свой протокол, не совсем ntp.

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

 

 

в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100%

Чтобы избежать мистики лучше посмотреть какие опции запрашивает клиент: если там есть опция с нтп сервером то скорее всего клиент её юзает, а если её там нет то даже если и впихнуть в ответ насильно (отступая от RFC) то клиент скорее всего её не отработает-пропустит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

плюс 1. у меня в винде прописан наш NTP сервер, всё работает как часы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начиная с Win2003 там полноценный NTP сервер, но настроенный по умолчанию на свою собственную авторизацию... В реестре можно включить стандартный режим...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются.

 

До winme винда могла только в локалке синхронизовать время со своим сервером. Для инета ставились внешние программы типе timerc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо.

 

Т.е. deny 53 порт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откройте для себя qrator.

 

ну и да.

 

deny udp / tcp 53 (естественно для своих днс стоит сделать исключения).

 

заодно еще udp 1900 в сторону абонентов заблокируйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откройте для себя qrator.

 

Точнее статистику qrator'a по AS.

А потом расскажете, как заставить клиентов эти уязвимости выключить.

Я вот открытые прокси не могу заставить провайдеров выключить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Которую из? Я тупо блочил порты 53ые в сторону днс с открытой рекурсией для физиков. Для нормальных юриков созванивались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.