Jump to content
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку.

Share this post


Link to post
Share on other sites

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку.

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

Share this post


Link to post
Share on other sites

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни.

Если применить аналогию - это дропанье говна на доступе, а не на ядре.

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

+1

Share this post


Link to post
Share on other sites

Если применить аналогию - это дропанье говна на доступе, а не на ядре.

 

Спасибо, так и делаем. Но я не уверен, что так делают все провайдеры. Поэтому рано или поздно, каждый из нас может стать счастливым обладателем этого говна извне.

Так что вопрос актуален: какова длина левого пакета? И имеют ли NTP v3/4 такую уязвимость?

Share this post


Link to post
Share on other sites

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

Вам лишь бы ничего не делать :)

Ну вот заблочили везде спуфинг, по всему миру. (фантастика). Потом кому то захотелось кого то обрушить, и он будучи инженером прова/гос служащим с доступом взял и поимел весь мир.

Представьте что это ваш конкурент вас так положил, в вашем идеальном мире где провайдеры блочат спуфинг но не блочат всякие ntp/dns.

 

Тут лечится нужно сразу разными средствами и везде.

Share this post


Link to post
Share on other sites

объясните попроще пожалуйста, что надо зафильтровать что-бы только легетимный ntp работал :)

например подскажите конкретный ACL для cisco 7301 :)

Edited by mcdemon

Share this post


Link to post
Share on other sites

И имеют ли NTP v3/4 такую уязвимость?

 

Вот отсюда получается, что уязвимость есть.

 

Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).

 

Думаем дальше...

Share this post


Link to post
Share on other sites

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его.

Edited by micol

Share this post


Link to post
Share on other sites

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s.

 

А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили.

Share this post


Link to post
Share on other sites

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его.

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s.

 

А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили.

нам тоже тут на днях на бордер 6г прилетело :(

Share this post


Link to post
Share on other sites

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

 

Походу его все уже выгнали все конкуренты :)

От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью)

Share this post


Link to post
Share on other sites

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

 

Походу его все уже выгнали все конкуренты :)

От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью)

а вы включите ))) На словах то все герои, а на деле 128к в наше время это ад))))

Share this post


Link to post
Share on other sites

А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах.

 

P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным.

Edited by secandr

Share this post


Link to post
Share on other sites

А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах.

 

P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным.

DDoS не от нас а к нам. В 10Гбит/с линк укладывает 10Гбит/с с N млн. пакетов/сек NTP трафика в сторону нашего реальника.

Думаю пояснять что в этот момент кричат матом роутеры и L3 коммутаторы не надо?)

 

А закрыться от этого только blackhole, но это не выход. Выход избавить сеть от магнита этого дерьмотрафика. Ибо клавиатурный воин на взрослых дядечек навыёживается, а нам отдувайся...

 

Короче приостанавливаем ему услуги, мотивируем форс-мажором и 401 ГК РФ и соотв. пунктом оферты... Письмо счастья по почте с уведомлением...

Edited by micol

Share this post


Link to post
Share on other sites

Это временная мера.

Нужно искать решение чтобы внешние факторы не влияли на договорные отношения с абонентами.

Share this post


Link to post
Share on other sites

Тут такой момент, что абоненты всякие бывают.

Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь.

Share this post


Link to post
Share on other sites

Тут такой момент, что абоненты всякие бывают.

Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь.

Ну вот опять очередной видеорегистратор вылез с ntp. Это не помойка - и с этим ничего не сделать...

Share this post


Link to post
Share on other sites

Я думаю на днях сделаю просто на коммутаторе в который у меня линк с аплинком, сделать ACL на udp/123 который будет полисить общую скорость до 64кбит на вход и на выход.

Для легитимных запросов должно хватить думаю и ничего страшного если изза ддосов они не пройдут сейчас, а пройдут через час.

правильно? :)

Share this post


Link to post
Share on other sites

правильно?

Нет.

ntp-пакеты маленькие, они и на небольшом канале могут DoS сделать.

Нужно лимитировать pps, если коммутатор позволяет.

Share this post


Link to post
Share on other sites

Многие абоненты имеют на своих устройствах:

роутеры, приставки открытые всем "ветрам" NTP сервера.

 

Чем любят пользоваться плохие люди для организации DDOS.

 

Что бы усложнить жизнь этим плохим людям, принимаем меры.

 

Направляем входящий NTP трафик на отдельный Linux сервер:

 

from {

protocol udp;

destination-port 123;

}

then {

routing-instance ntp-redirect;

}

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

Нормальные NTP запросы и ответы проходят нормально.

Попытки DDOS фильтруются.

 

 

первая строчка для Джуна?

Share this post


Link to post
Share on other sites

вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли.

Share this post


Link to post
Share on other sites

интенсивных запросов изнутри не нашли.

Только полный идиот будет устраивать целенаправленную ddos атаку на хост, находящийся за тем же провайдером. Почитайте на досуге как ntp ddos работает, и все вопросы отпадут. Может оказаться и так, что инициатор атаки и вовсе находится за пределами материка ;)

Share this post


Link to post
Share on other sites

Идиотов, в том числе полных, среди наших сограждан, в том числе абонентов, достаточно. У нас был один такой смешной чудак, вот и на этот раз подумали, что возможен рецидив. Механизм работы как раз понятен. Непонятны мотивы и цели.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.