Перейти к содержимому
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

Многие абоненты имеют на своих устройствах:

роутеры, приставки открытые всем "ветрам" NTP сервера.

 

Чем любят пользоваться плохие люди для организации DDOS.

 

Что бы усложнить жизнь этим плохим людям, принимаем меры.

 

Направляем входящий NTP трафик на отдельный Linux сервер:

 

from {

protocol udp;

destination-port 123;

}

then {

routing-instance ntp-redirect;

}

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

Нормальные NTP запросы и ответы проходят нормально.

Попытки DDOS фильтруются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да eltex приставки очень любят атаковать всех )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Примерно так, подвержены видеорегистраторы unimo, с включенным ntp и имеющие реальный ip-адрес или находящиеся в dmz.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, у меня видеорегистратор третий день гонит до 8Мбит по 123/udp... Подробности в теме видеонаблюдения, пока просто заблочил этот траффик

 

У нас тоже есть несколько клиентов с какими-то китайскими регистраторами. На самом регистраторе нельзя закрыть порт или отключить NTP.

Мы в качестве самого простого решение предложили клиентам ставить за свой счёт какие-либо роутеры, и делать на них проброс только конкретных портов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, приставки - самые активные участники ботнета.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Часть атак можно отсечь просто пакетным фильтром,

запретить все SRC UDP порты < 1024 (кроме 123) в направлении UDP 123.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Class-map: ntpdos (match-all)
 1063 packets, 59058 bytes
 30 second offered rate 0000 bps, drop rate 0000 bps
 Match: start l3-start offset 11 size 1 regex "\x2A"
 Match: field UDP dest-port eq 123

на брасах как-то скромненько все

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запросы то скромненько, в мегабиты укладываются.

А вот ответы, уже, гигабиты исходящего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

После общения с видеорегистраторщиками, а они в свою очередь со своей техподдержкой понял - новой прошивки дождаться будет не скоро. Выводы - не садите регистраторы на реальный IP или в dmz. Только проброс необходимых портов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

 

Не в курсе, как эту строчку для ipfw сделать? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на современном этапе такая вот конструкция

00004       1785989        64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in
00004          4055          576036 deny udp from any 123 to any iplen 1-40,300-1500 in
00004        663615        23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in

 

проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поясните в чем соль проблемы? В monitor/monlist?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на современном этапе такая вот конструкция

00004       1785989        64296951 deny udp from any 1-122,124-1023 to any dst-port 123 in
00004          4055          576036 deny udp from any 123 to any iplen 1-40,300-1500 in
00004        663615        23922199 deny udp from any to any dst-port 123 iplen 1-40,300-1500 in

 

проблему полностью сняла и не мешает жить легитимной синхронизации времени.. (но естественно до тех пор пора не попрут запросы длиной 48 бит, но ответы оно всеравно срубит, они непозволительно длинные)

 

Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Счетчики впечатляют, за какой период ? По моим графикам этот ддос от одного регистратора выел все 8Мбит клиента.

 

Это IN. если бы оно долетало и там бы отвечали то out был бы *204 практически в 3-й колонке ;)

Правила появились с воскресенья вечера на сколько я в курсе.. Это не совсем мое, там пара абонентов участвовало в NTP ддосе. Абонентов вроде как выключили-проапгрейдили-настроили, т.е. сами по себе они перестали отзываться на эту хрень, но запросы прут в таких вот количествах и наверное переть еще будут какоето время. правила повесили уже после решения проблем с самими абонентами для профилактики новых.

 

Я видел up to 100 мб исхода с 1 хоста с 3-мя IP. и гдето 40-45 с хоста с 1 IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне вот интересно - вроде для атаки используются запросы с поддельным адресом источника.

 

В таком случае если дизайн Вашей сети не позволяет подделанному пакету выйти наружу то вроде бы достаточно для снятия большей части проблемы просто заблокировать входящие пакеты из мира на 123 udp порт абонентов.

 

Или я что то ещё упустил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда легитимные ответы на легитимные запросы клиента не будут к нему возвращаться. Штатно запросы ходят 123-123 порт. Для ддоса запросы с 123 порта тоже ходят. Для тех кто только 123-123 и пускает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Штатно запросы ходят 123-123 порт.

нет, сервер на 123, а клиент может на любом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну штатно как раз идет синхронизация NTPD 123-123. и даже ntpdate без ключа -u. А уже всякие поделия от мелкомягких и прочих да, на любом выше 1024..

А если

разрешить

локалка любой порт -> мир 123

мир 123 -> локалка 123

Запретить

мир любой порт -> локалка 123

остальное разрешить

 

Большая часть нелигитимного трафика отрежется ведь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ntp клиент, который сидит за nat будет иметь src port отличный от 123.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большая часть нелигитимного трафика отрежется ведь.

Вы правда думаете что такой примитив с портом остановит тех кто подменяет src ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дак а не пофиг ли? Клиент оплатил полосу, пусть пользуется. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 DVM-Avgoor. Не пофиг. Лично мне глубоко похер на клиента оплатившего или не оплатившего полосу. Не он таргет атаки. (мало того, в массе своей он вообще не страдает от этого, разве что шейпер его шейпит чуть больше обычного. ) А вот оказаться на месте реального получателя этого говна я не хочу. И сделаю все от меня зависящее, чтобы сократить объемы дерьма в сторону реальных пострадавших.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не пофиг.

 

А провести беседы с целью убрать нтп с открытого доступа?

Защищаться от ДДОС дело тяжелое и не благодарное, в этом вам никак не поможет хитрый способ прикрыть клиентам нтп...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.