IlyaKirilkin Опубликовано 27 февраля, 2014 · Жалоба DVM-Avgoor С кем провести беседы? С владельцами SOHO-мыльниц? С приставленными к чужими руками сконфигуренным серверам мальчиками? С владельцами прочего непонятного, типа stb? Как много бесед удастся провести? Сотню-две-три в день? Резать к чёртовой матери, не дожидаясь перитонита. (с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 27 февраля, 2014 · Жалоба С кем провести беседы? С владельцами SOHO-мыльниц? У меня в сети около 600 сохо-мыльниц вида Zyxel и Dlink. (это только те что мы сами ставили, сколько их всего знает лишь Бог) Проверял скриптом на monlist, ответили единицы. В основном как раз всякие линуксы на домашних писюках. Была проблема с крипто-секурити-нано-шлюзом-маде-ин-раша в одной больнице, но его починили когда им сообщили. СТБшки вообще в отдельном влане живут. В общем я полагаю, что проблема слегка раздута. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 27 февраля, 2014 · Жалоба DVM-Avgoor Сам сегодня наблюдал, как stb самозабвенно херачили по 100 мегабит, результат их коллективного труда поверг в ужас. Разумеется, случаи бывают разные. Нам вот было проще зарезать лишнее- и нагрузка на сети поутихла и деньги за аплинки сэкономились. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 27 февраля, 2014 · Жалоба Ну здесь как обычно в первую очередь рулит дизайн, а уж потом фильтры. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 28 февраля, 2014 · Жалоба Разумеется, случаи бывают разные. Нам вот было проще зарезать лишнее- и нагрузка на сети поутихла и деньги за аплинки сэкономились.без одмина конеш нет жизни. я предлагаю его таки позвать, он вам настроит всё!Ну здесь как обычно в первую очередь рулит дизайн, а уж потом фильтры. :-)так всегда так было. но линагз-фанбои считают иначе, им глагне чтобы было куда iptables присунуть. а ntp так настраивать и не научились. кококо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 28 февраля, 2014 · Жалоба Мы вообще блокернули NTP в сторону абонентов. Уже неделю как. Заявок от абонентов, что не работает - нету Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 28 февраля, 2014 · Жалоба Butch3r, а как же синхронизация времени в винде? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 28 февраля, 2014 · Жалоба к сожалению, или счастью, синхронизацией времени заморачиваются единицы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 28 февраля, 2014 · Жалоба Большая часть нелегитимного трафика отрежется ведь. Вы правда думаете что такой примитив с портом остановит тех кто подменяет src ip? :) Даже и не думал о таком. На мой взгляд с подделкой адреса источника наверно надо бороться на уровне провайдеров. Эффективность такого метода будет явно выше чем пытаться что то подрезать или исправить на всех легитимных сервисах сети. Про цель атаки я вообще молчу. А вот существенно уменьшить количество нелегитимного трафика явно можно и обычными acl-ками. Когда разбирался с подобной атакой с использованием DNS - на наш сервер в течении часа были запросы максимум от 10 разных IP(хоть и подделанных) но с перебором портов источника и без повторов. Если из 65к запросов пройдёт только 1 - эффект так сказать на лицо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 февраля, 2014 (изменено) · Жалоба к сожалению, или счастью, синхронизацией времени заморачиваются единицы Отнюдь, видеть неправильное время на видеорегистраторе некошерно. Для таких случаев я на старой циске ntp-server держу, чисто под свои нужны. Да и в логах коммутаторов правильное время тоже полезно. Изменено 28 февраля, 2014 пользователем YuryD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 28 февраля, 2014 · Жалоба А что если, в качестве вынужденной меры поднять внутренний NTP сервер (все таки без синхронизации времени плохо), а запросы наружу/внутрь дропать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 28 февраля, 2014 · Жалоба Butch3r, а как же синхронизация времени в винде? :) Так разве сервер винды ходит к абоненту и синхронизирует время? :) От абонентов 123 разрешен, запрещен он в их сторону :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 28 февраля, 2014 · Жалоба если кому интересно, свежачок-с на ~380 мбит/с: http://www.skial.com/doslogs/2014-02-27-15-42-28.log Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 28 февраля, 2014 · Жалоба Butch3r, извините, не так вас понял :) Тогда всё правильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 февраля, 2014 (изменено) · Жалоба если кому интересно, свежачок-с на ~380 мбит/с: http://www.skial.com/doslogs/2014-02-27-15-42-28.log Ага, доступ к ресурсу запрещен, причем это не моя заглушка, upd - в реестре сайта нет Изменено 28 февраля, 2014 пользователем YuryD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 28 февраля, 2014 · Жалоба Приставкам stb вы даете реальники? Зачем? Что касается роутеров мыльниц - проблема есть. Какие то модели от ASUS точно этим страдают. Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно. При DDOS размеры пакетов больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 28 февраля, 2014 · Жалоба Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно. можно более 48, синхронизацию не сломает, а mode 6(ntpq)/7(ntpdc) - да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 28 февраля, 2014 · Жалоба pfexec Именно одмина? С котом и шредером? Negator Нат отсутствует как класс, так получилось. Нтп ранее сознательно не блокировался ни для кого, теперь для stb сделано исключение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 28 февраля, 2014 · Жалоба Нат отсутствует как класс, так получилось. Значит это вопрос дизайна сети. Ну не нужен приставкам реальник. В современном мире это еще и расход реальников. Анализируйте опции DHCP или маки приставок, выдавайте им серые IP и NAT. Трафика там копейки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 28 февраля, 2014 · Жалоба Чтоб открывать на вход на 123 на некоторое время только после прохождения пакета на выход на 123 порт на кисках можно reflexive acl попробовать использовать. Правда как это скажется на нагрузке на маршрутизатор - хз. Лишь бы клиент не пытался каждые пять минут время синхронизировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 28 февраля, 2014 · Жалоба Именно одмина? С котом и шредером?кот и шредер по желанию. а одмин вам запилит нормальный дизайн сети, так чтобы всякое говно без нужды в интернеты не торчало, чтобы не решать героически только что самими созданные проблемы. :)на кисках можно reflexive acl попробовать использовать.Правда как это скажется на нагрузке на маршрутизатор - хз. от рефлексив акл по-мойму ему худо будет на большом количестве :) хотя как знать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 февраля, 2014 · Жалоба Butch3r, а как же синхронизация времени в винде? :) 1. Можно в state full разрешать 123 устанавливать изнутри наружу а обратно нет. 2. Можно дропать всё извне а то что во вне идёт заворачивать на свой нтп. На мой взгляд с подделкой адреса источника наверно надо бороться на уровне провайдеров. Открытие номер два: не все подключаются к интернету через провайдеров. Номер три: кто следит за следящим? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 10 июня, 2014 · Жалоба Butch3r, а как же синхронизация времени в винде? :) Так разве сервер винды ходит к абоненту и синхронизирует время? :) От абонентов 123 разрешен, запрещен он в их сторону :) Не совсем понял, а ответ от сервера из вне к абоненту в таком случае придет? он ведь тоже по 123 порту приходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
killonik Опубликовано 25 сентября, 2014 · Жалоба Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится.. Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента. NTPv3 и v4 работают 123-123 и клиент и сервер. В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123. А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме. Еще, замечено, что нормальная длина NTP пакета - 48. Если длина пакета - 8, это 99% пакет сгенерирован для DDOS. Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно. При DDOS размеры пакетов больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 25 сентября, 2014 · Жалоба Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...