ivb1232 Опубликовано 26 февраля, 2014 · Жалоба Многие абоненты имеют на своих устройствах: роутеры, приставки открытые всем "ветрам" NTP сервера. Чем любят пользоваться плохие люди для организации DDOS. Что бы усложнить жизнь этим плохим людям, принимаем меры. Направляем входящий NTP трафик на отдельный Linux сервер: from { protocol udp; destination-port 123; } then { routing-instance ntp-redirect; } На Linux добавляем "волшебную" строчку: iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP Нормальные NTP запросы и ответы проходят нормально. Попытки DDOS фильтруются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 февраля, 2014 · Жалоба Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 26 февраля, 2014 · Жалоба Да eltex приставки очень любят атаковать всех ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 февраля, 2014 · Жалоба Примерно так, подвержены видеорегистраторы unimo, с включенным ntp и имеющие реальный ip-адрес или находящиеся в dmz. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 февраля, 2014 · Жалоба Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик У нас тоже есть несколько клиентов с какими-то китайскими регистраторами. На самом регистраторе нельзя закрыть порт или отключить NTP. Мы в качестве самого простого решение предложили клиентам ставить за свой счёт какие-либо роутеры, и делать на них проброс только конкретных портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivb1232 Опубликовано 26 февраля, 2014 · Жалоба Да, приставки - самые активные участники ботнета. Еще, замечено, что нормальная длина NTP пакета - 48. Если длина пакета - 8, это 99% пакет сгенерирован для DDOS. Часть атак можно отсечь просто пакетным фильтром, запретить все SRC UDP порты < 1024 (кроме 123) в направлении UDP 123. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 26 февраля, 2014 · Жалоба Class-map: ntpdos (match-all) 1063 packets, 59058 bytes 30 second offered rate 0000 bps, drop rate 0000 bps Match: start l3-start offset 11 size 1 regex "\x2A" Match: field UDP dest-port eq 123 на брасах как-то скромненько все Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivb1232 Опубликовано 26 февраля, 2014 · Жалоба Запросы то скромненько, в мегабиты укладываются. А вот ответы, уже, гигабиты исходящего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 февраля, 2014 · Жалоба После общения с видеорегистраторщиками, а они в свою очередь со своей техподдержкой понял - новой прошивки дождаться будет не скоро. Выводы - не садите регистраторы на реальный IP или в dmz. Только проброс необходимых портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 27 февраля, 2014 · Жалоба На Linux добавляем "волшебную" строчку: iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP Не в курсе, как эту строчку для ipfw сделать? )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 февраля, 2014 · Жалоба на современном этапе такая вот конструкция 00004 1785989 64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in 00004 4055 576036 deny udp from any 123 to any iplen 1-40,300-1500 in 00004 663615 23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 27 февраля, 2014 · Жалоба Поясните в чем соль проблемы? В monitor/monlist? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 27 февраля, 2014 · Жалоба http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 27 февраля, 2014 · Жалоба на современном этапе такая вот конструкция 00004 1785989 64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in 00004 4055 576036 deny udp from any 123 to any iplen 1-40,300-1500 in 00004 663615 23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные) Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 февраля, 2014 · Жалоба Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента. Это IN. если бы оно долетало и там бы отвечали то out был бы *204 практически в 3-й колонке ;) Правила появились с воскресенья вечера на сколько я в курсе.. Это не совсем мое, там пара абонентов участвовало в NTP ддосе. Абонентов вроде как выключили-проапгрейдили-настроили, т.е. сами по себе они перестали отзываться на эту хрень, но запросы прут в таких вот количествах и наверное переть еще будут какоето время. правила повесили уже после решения проблем с самими абонентами для профилактики новых. Я видел up to 100 мб исхода с 1 хоста с 3-мя IP. и гдето 40-45 с хоста с 1 IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 27 февраля, 2014 · Жалоба Мне вот интересно - вроде для атаки используются запросы с поддельным адресом источника. В таком случае если дизайн Вашей сети не позволяет подделанному пакету выйти наружу то вроде бы достаточно для снятия большей части проблемы просто заблокировать входящие пакеты из мира на 123 udp порт абонентов. Или я что то ещё упустил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 февраля, 2014 · Жалоба Тогда легитимные ответы на легитимные запросы клиента не будут к нему возвращаться. Штатно запросы ходят 123-123 порт. Для ддоса запросы с 123 порта тоже ходят. Для тех кто только 123-123 и пускает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 27 февраля, 2014 · Жалоба Штатно запросы ходят 123-123 порт. нет, сервер на 123, а клиент может на любом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 февраля, 2014 · Жалоба ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 27 февраля, 2014 · Жалоба ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024.. А если разрешить локалка любой порт -> мир 123 мир 123 -> локалка 123 Запретить мир любой порт -> локалка 123 остальное разрешить Большая часть нелигитимного трафика отрежется ведь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 27 февраля, 2014 · Жалоба Ntp клиент, который сидит за nat будет иметь src port отличный от 123. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 февраля, 2014 · Жалоба Большая часть нелигитимного трафика отрежется ведь. Вы правда думаете что такой примитив с портом остановит тех кто подменяет src ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 27 февраля, 2014 · Жалоба Дак а не пофиг ли? Клиент оплатил полосу, пусть пользуется. :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 февраля, 2014 · Жалоба 2 DVM-Avgoor. Не пофиг. Лично мне глубоко похер на клиента оплатившего или не оплатившего полосу. Не он таргет атаки. (мало того, в массе своей он вообще не страдает от этого, разве что шейпер его шейпит чуть больше обычного. ) А вот оказаться на месте реального получателя этого говна я не хочу. И сделаю все от меня зависящее, чтобы сократить объемы дерьма в сторону реальных пострадавших. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 27 февраля, 2014 · Жалоба Не пофиг. А провести беседы с целью убрать нтп с открытого доступа? Защищаться от ДДОС дело тяжелое и не благодарное, в этом вам никак не поможет хитрый способ прикрыть клиентам нтп... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...