[IlyaKirilkin]

DVM-Avgoor

С кем провести беседы? С владельцами SOHO-мыльниц? С приставленными к чужими руками сконфигуренным серверам мальчиками? С владельцами прочего непонятного, типа stb? Как много бесед удастся провести? Сотню-две-три в день?

Резать к чёртовой матери, не дожидаясь перитонита. (с)

[DVM-Avgoor]

С кем провести беседы? С владельцами SOHO-мыльниц?

 

У меня в сети около 600 сохо-мыльниц вида Zyxel и Dlink. (это только те что мы сами ставили, сколько их всего знает лишь Бог)

Проверял скриптом на monlist, ответили единицы. В основном как раз всякие линуксы на домашних писюках.

Была проблема с крипто-секурити-нано-шлюзом-маде-ин-раша в одной больнице, но его починили когда им сообщили.

СТБшки вообще в отдельном влане живут. В общем я полагаю, что проблема слегка раздута.

[IlyaKirilkin]

DVM-Avgoor

Сам сегодня наблюдал, как stb самозабвенно херачили по 100 мегабит, результат их коллективного труда поверг в ужас.

Разумеется, случаи бывают разные. Нам вот было проще зарезать лишнее- и нагрузка на сети поутихла и деньги за аплинки сэкономились.

[DVM-Avgoor]

Ну здесь как обычно в первую очередь рулит дизайн, а уж потом фильтры. :-)

[pfexec]

Разумеется, случаи бывают разные. Нам вот было проще зарезать лишнее- и нагрузка на сети поутихла и деньги за аплинки сэкономились.

без одмина конеш нет жизни. я предлагаю его таки позвать, он вам настроит всё!

Ну здесь как обычно в первую очередь рулит дизайн, а уж потом фильтры. :-)

так всегда так было. но линагз-фанбои считают иначе, им глагне чтобы было куда iptables присунуть. а ntp так настраивать и не научились. кококо!

[Butch3r]

Мы вообще блокернули NTP в сторону абонентов. Уже неделю как. Заявок от абонентов, что не работает - нету

[SOFTOLAB]

Butch3r, а как же синхронизация времени в винде? :)

[f13]

к сожалению, или счастью, синхронизацией времени заморачиваются единицы

[NikAlexAn]

Большая часть нелегитимного трафика отрежется ведь.

Вы правда думаете что такой примитив с портом остановит тех кто подменяет src ip?

:) Даже и не думал о таком. На мой взгляд с подделкой адреса источника наверно надо бороться на уровне провайдеров. Эффективность такого метода будет явно выше чем пытаться что то подрезать или исправить на всех легитимных сервисах сети. Про цель атаки я вообще молчу.

А вот существенно уменьшить количество нелегитимного трафика явно можно и обычными acl-ками.

Когда разбирался с подобной атакой с использованием DNS - на наш сервер в течении часа были запросы максимум от 10 разных IP(хоть и подделанных) но с перебором портов источника и без повторов. Если из 65к запросов пройдёт только 1 - эффект так сказать на лицо.

[YuryD]

к сожалению, или счастью, синхронизацией времени заморачиваются единицы

Отнюдь, видеть неправильное время на видеорегистраторе некошерно. Для таких случаев я на старой циске ntp-server держу, чисто под свои нужны. Да и в логах коммутаторов правильное время тоже полезно.

Изменено 28 февраля, 2014 пользователем YuryD

[SOFTOLAB]

А что если, в качестве вынужденной меры поднять внутренний NTP сервер (все таки без синхронизации времени плохо), а запросы наружу/внутрь дропать?

[Butch3r]

Butch3r, а как же синхронизация времени в винде? :)

Так разве сервер винды ходит к абоненту и синхронизирует время? :) От абонентов 123 разрешен, запрещен он в их сторону :)

[darkagent]

если кому интересно, свежачок-с на ~380 мбит/с:

http://www.skial.com/doslogs/2014-02-27-15-42-28.log

[SOFTOLAB]

Butch3r, извините, не так вас понял :)

Тогда всё правильно.

[YuryD]

если кому интересно, свежачок-с на ~380 мбит/с:

http://www.skial.com/doslogs/2014-02-27-15-42-28.log

 

Ага, доступ к ресурсу запрещен, причем это не моя заглушка, upd - в реестре сайта нет

Изменено 28 февраля, 2014 пользователем YuryD

[Negator]

Приставкам stb вы даете реальники?

Зачем?

Что касается роутеров мыльниц - проблема есть.

Какие то модели от ASUS точно этим страдают.

 

Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно.

При DDOS размеры пакетов больше.

[f13]

Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно.

можно более 48, синхронизацию не сломает, а mode 6(ntpq)/7(ntpdc) - да

[IlyaKirilkin]

pfexec

Именно одмина? С котом и шредером?

 

Negator

Нат отсутствует как класс, так получилось. Нтп ранее сознательно не блокировался ни для кого, теперь для stb сделано исключение.

[Negator]

Нат отсутствует как класс, так получилось.

Значит это вопрос дизайна сети.

Ну не нужен приставкам реальник. В современном мире это еще и расход реальников.

Анализируйте опции DHCP или маки приставок, выдавайте им серые IP и NAT. Трафика там копейки.

[NikAlexAn]

Чтоб открывать на вход на 123 на некоторое время только после прохождения пакета на выход на 123 порт на кисках можно reflexive acl попробовать использовать.

Правда как это скажется на нагрузке на маршрутизатор - хз.

Лишь бы клиент не пытался каждые пять минут время синхронизировать.

[pfexec]

Именно одмина? С котом и шредером?

кот и шредер по желанию. а одмин вам запилит нормальный дизайн сети, так чтобы всякое говно без нужды в интернеты не торчало, чтобы не решать героически только что самими созданные проблемы. :)

на кисках можно reflexive acl попробовать использовать.

Правда как это скажется на нагрузке на маршрутизатор - хз.

от рефлексив акл по-мойму ему худо будет на большом количестве :) хотя как знать.

[Ivan_83]

Butch3r, а как же синхронизация времени в винде? :)

1. Можно в state full разрешать 123 устанавливать изнутри наружу а обратно нет.

2. Можно дропать всё извне а то что во вне идёт заворачивать на свой нтп.

 

 

На мой взгляд с подделкой адреса источника наверно надо бороться на уровне провайдеров.

Открытие номер два: не все подключаются к интернету через провайдеров.

Номер три: кто следит за следящим? :)

[FIGO]

Butch3r, а как же синхронизация времени в винде? :)

Так разве сервер винды ходит к абоненту и синхронизирует время? :) От абонентов 123 разрешен, запрещен он в их сторону :)

Не совсем понял, а ответ от сервера из вне к абоненту в таком случае придет? он ведь тоже по 123 порту приходит

[killonik]

Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится..

 

Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента.

NTPv3 и v4 работают 123-123 и клиент и сервер.

 

В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123.

 

А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно.

При DDOS размеры пакетов больше.

[pppoetest]

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.