NikAlexAn Опубликовано 13 августа, 2015 · Жалоба вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли. Насколько помню там на цель прилетали ответы от нтп серверов на которые запросы шли якобы с адреса цели. К вам то ответы прилетали или запросы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 13 августа, 2015 · Жалоба ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DGM Опубликовано 13 августа, 2015 · Жалоба ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток. Как отбивались, если не секрет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 14 августа, 2015 · Жалоба пакеты валились только на один ip, мы его убрали из роутинга, стало полегче, потом попросили аплинков временно закрыть трафик на этот ip. ну и впредь закрыли большие ntp пакеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 · Жалоба Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится.. Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента. NTPv3 и v4 работают 123-123 и клиент и сервер. В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123. А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме. Еще, замечено, что нормальная длина NTP пакета - 48. Если длина пакета - 8, это 99% пакет сгенерирован для DDOS. Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно. При DDOS размеры пакетов больше. Вопрос длинны пакета так и не был раскрыт.... Мож кто внесет ясность в данный вопрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 · Жалоба Вопрос длинны пакета так и не был раскрыт.... Мож кто внесет ясность в данный вопрос? ntp ampl гуглите. Суть простая - любой дырявый ntpserver способен в ответ на кривой короткий запрос, сгенерить ответ в 650 раз больше, причем это udp. Вывод - фильтруйте все запросы извне на ntp из блока клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 · Жалоба Если я вас правильно понял, ACL правило: deny udp any host X.X.X.X 0.0.0.255 eq 123 permit any any должно спасти от напасти? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 · Жалоба Если я вас правильно понял, ACL правило: deny udp any host X.X.X.X 0.0.0.255 eq 123 permit any any должно спасти от напасти? Если исходить из того, что у клиентов в принципе не может быть валидного ntp-сервера... У меня киска своя для ntp внутри лежит, для неё allow, остальным - deny. Кому точное время надо - пишите запрос, дам ip сервера... С этой хренью я на видеорегистраторах дырявых похлебал.... Нее, узел не лёг, лежали каналы клиентов в полку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 · Жалоба Кому точное время надо - пишите запрос, дам ip сервера... Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам, тогда уж напрашиваются два варианта: 1. Завернуть на свой ntp север, ntp запросы хомяков. Первая мысль - прозрачный прокси, но это не комильфо... Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей. 2. Изменить DNS запись, к топовым ntp серверам на свой IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 · Жалоба Зачем такие сложности ? Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 8 января, 2017 · Жалоба Кому точное время надо - пишите запрос, дам ip сервера... Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам, тогда уж напрашиваются два варианта: 1. Завернуть на свой ntp север, ntp запросы хомяков. Первая мысль - прозрачный прокси, но это не комильфо... Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей. 2. Изменить DNS запись, к топовым ntp серверам на свой IP. 3 вариант -раздавать по dhcp своим абонам свой ntp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 · Жалоба Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 · Жалоба Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? Никак, у мелкософт свой протокол, не совсем ntp. Есть список ntp серверов, и если хотите иметь стратум крутой - к ним пишите запрос, на тему а не могу ли я у вас время для себя брать ? В свое время со стратумом 2 писал запросы - дали... теперь имею стратум 3, что мои железки вполне пережевывают, мне микросекунды на нужны... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 8 января, 2017 · Жалоба Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 8 января, 2017 · Жалоба Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Господа, позвольте обратиться с вопросом!? Может быть конечно хочется странного, но можно ли организовать подобную схему через class-map и policy-map Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 9 января, 2017 (изменено) · Жалоба Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100% пробовал на 7ке, не менялся но может я не так что-то сделал... но даже еслибы это работало, у большинства абонов роутеры. и соответственно компьютер не получит ntp через dhcp от провайдера Изменено 9 января, 2017 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 января, 2017 · Жалоба Всё смешалось: люди, кони... Резать ntp из инета к абоненту - значит уменьшать исходящий трафик от абонента (предотвращение амплификации). Резать абонентский ntp - оставлять его без синхронизации/сервиса. Если очень хочется/колется можно порезать пакетрейт на юдп 123 от клиента, скажем до 10 пакетов в секунду, это не сломает ничего радикально но зловредам нагадит сильно. как свой NTP может откликнуться на time.windows.com ? Добавляешь в свой ДНС запись на свой ип. Либо резолвишь ихний и все запросы к нему натишь на свой. Обычная схема, ничего нового. Никак, у мелкософт свой протокол, не совсем ntp. Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100% Чтобы избежать мистики лучше посмотреть какие опции запрашивает клиент: если там есть опция с нтп сервером то скорее всего клиент её юзает, а если её там нет то даже если и впихнуть в ответ насильно (отступая от RFC) то клиент скорее всего её не отработает-пропустит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 января, 2017 · Жалоба Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. плюс 1. у меня в винде прописан наш NTP сервер, всё работает как часы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 9 января, 2017 · Жалоба Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenKZ Опубликовано 9 января, 2017 · Жалоба Начиная с Win2003 там полноценный NTP сервер, но настроенный по умолчанию на свою собственную авторизацию... В реестре можно включить стандартный режим... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 января, 2017 · Жалоба Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются. До winme винда могла только в локалке синхронизовать время со своим сервером. Для инета ставились внешние программы типе timerc. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 января, 2017 · Жалоба Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо. Т.е. deny 53 порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 января, 2017 · Жалоба откройте для себя qrator. ну и да. deny udp / tcp 53 (естественно для своих днс стоит сделать исключения). заодно еще udp 1900 в сторону абонентов заблокируйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 9 января, 2017 · Жалоба откройте для себя qrator. Точнее статистику qrator'a по AS. А потом расскажете, как заставить клиентов эти уязвимости выключить. Я вот открытые прокси не могу заставить провайдеров выключить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 января, 2017 · Жалоба Которую из? Я тупо блочил порты 53ые в сторону днс с открытой рекурсией для физиков. Для нормальных юриков созванивались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...