Jump to content

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

Reply to this topic

killonik   

killonik
Posted · Report post

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку.

Share this post

Link to post
Share on other sites

NikAlexAn   

NikAlexAn
Posted · Report post

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни. Надо не пускать внутрь пакеты генерирующие атаку.

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

Share this post

Link to post
Share on other sites

pppoetest   

pppoetest
Posted · Report post

Неужели так сложно всем провам запретить все пакеты !src ip своих сетей в мир. Этого было бы достаточно.

Насколько я понимаю, это лишь устранение симптомов, но не лечение болезни.

Если применить аналогию - это дропанье говна на доступе, а не на ядре.

Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

+1

Share this post

Link to post
Share on other sites

killonik   

killonik
Posted · Report post

Если применить аналогию - это дропанье говна на доступе, а не на ядре.

 

Спасибо, так и делаем. Но я не уверен, что так делают все провайдеры. Поэтому рано или поздно, каждый из нас может стать счастливым обладателем этого говна извне.

Так что вопрос актуален: какова длина левого пакета? И имеют ли NTP v3/4 такую уязвимость?

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted · Report post
Ага. А по мне дак логичней убить как можно раньше не легитимный трафик чем придумывать способы отбиться от него на входе в свою сеть.

Вам лишь бы ничего не делать :)

Ну вот заблочили везде спуфинг, по всему миру. (фантастика). Потом кому то захотелось кого то обрушить, и он будучи инженером прова/гос служащим с доступом взял и поимел весь мир.

Представьте что это ваш конкурент вас так положил, в вашем идеальном мире где провайдеры блочат спуфинг но не блочат всякие ntp/dns.

 

Тут лечится нужно сразу разными средствами и везде.

Share this post

Link to post
Share on other sites

mcdemon   

mcdemon
Posted (edited) · Report post

объясните попроще пожалуйста, что надо зафильтровать что-бы только легетимный ntp работал :)

например подскажите конкретный ACL для cisco 7301 :)

Edited by mcdemon

Share this post

Link to post
Share on other sites

killonik   

killonik
Posted · Report post

И имеют ли NTP v3/4 такую уязвимость?

 

Вот отсюда получается, что уязвимость есть.

 

Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).

 

Думаем дальше...

Share this post

Link to post
Share on other sites

micol   

micol
Posted (edited) · Report post

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его.

Edited by micol

Share this post

Link to post
Share on other sites

Heggi   

Heggi
Posted · Report post

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s.

 

А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили.

Share this post

Link to post
Share on other sites

Butch3r   

Butch3r
Posted · Report post

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s. А за год уже раз 15-20 было. Подскажите как грамотно слить такого абонента. Ни за какие деньги он не нужен. Постоянно досят только его.

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

За неделю 3-й раз в сторону хомячка NTP DDoS over 10Gb/s.

 

А у нас 5 раз разных хомячков, а последний раз вообще на p2p IP бордера этого говна навалили.

нам тоже тут на днях на бордер 6г прилетело :(

Share this post

Link to post
Share on other sites

micol   

micol
Posted · Report post

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

 

Походу его все уже выгнали все конкуренты :)

От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью)

Share this post

Link to post
Share on other sites

Butch3r   

Butch3r
Posted · Report post

на порту ему скорость рейтлимитом чикните до 128к и говорите что у вас всё ок. Сам сбежит.

 

 

Походу его все уже выгнали все конкуренты :)

От нас не хочет со скакивать. Говорит что будет сидеть с любой скоростью)

а вы включите ))) На словах то все герои, а на деле 128к в наше время это ад))))

Share this post

Link to post
Share on other sites

secandr   

secandr
Posted (edited) · Report post

А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах.

 

P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным.

Edited by secandr

Share this post

Link to post
Share on other sites

micol   

micol
Posted (edited) · Report post

А чего вы мелочитесь? Полисер на циске минимальный 8 кбит, вот это скорость! А ещё жёсче - поставить минимальное ограничение по скорости на порту длинка, учитывая неадеватность их полисера, будет вообще швах.

 

P.S. А что если от ддос защищаться, установив полисер на NTP протокол отдельным, размером в 8 кбит? Никаких сильных извращений с ацл. Время синхранизируется, а ддос от вас будет минимальным.

DDoS не от нас а к нам. В 10Гбит/с линк укладывает 10Гбит/с с N млн. пакетов/сек NTP трафика в сторону нашего реальника.

Думаю пояснять что в этот момент кричат матом роутеры и L3 коммутаторы не надо?)

 

А закрыться от этого только blackhole, но это не выход. Выход избавить сеть от магнита этого дерьмотрафика. Ибо клавиатурный воин на взрослых дядечек навыёживается, а нам отдувайся...

 

Короче приостанавливаем ему услуги, мотивируем форс-мажором и 401 ГК РФ и соотв. пунктом оферты... Письмо счастья по почте с уведомлением...

Edited by micol

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted · Report post

Это временная мера.

Нужно искать решение чтобы внешние факторы не влияли на договорные отношения с абонентами.

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted · Report post

Тут такой момент, что абоненты всякие бывают.

Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь.

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted · Report post

Тут такой момент, что абоненты всякие бывают.

Некоторые такую помойку у себя разводят, что никаким решением их от внешних факторов не закроешь.

Ну вот опять очередной видеорегистратор вылез с ntp. Это не помойка - и с этим ничего не сделать...

Share this post

Link to post
Share on other sites

mcdemon   

mcdemon
Posted · Report post

Я думаю на днях сделаю просто на коммутаторе в который у меня линк с аплинком, сделать ACL на udp/123 который будет полисить общую скорость до 64кбит на вход и на выход.

Для легитимных запросов должно хватить думаю и ничего страшного если изза ддосов они не пройдут сейчас, а пройдут через час.

правильно? :)

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted · Report post

правильно?

Нет.

ntp-пакеты маленькие, они и на небольшом канале могут DoS сделать.

Нужно лимитировать pps, если коммутатор позволяет.

Share this post

Link to post
Share on other sites

zlolotus   

zlolotus
Posted · Report post

Многие абоненты имеют на своих устройствах:

роутеры, приставки открытые всем "ветрам" NTP сервера.

 

Чем любят пользоваться плохие люди для организации DDOS.

 

Что бы усложнить жизнь этим плохим людям, принимаем меры.

 

Направляем входящий NTP трафик на отдельный Linux сервер:

 

from {

protocol udp;

destination-port 123;

}

then {

routing-instance ntp-redirect;

}

 

 

На Linux добавляем "волшебную" строчку:

 

iptables -I FORWARD -p udp -m udp --dport 123 -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xff=0x2a" -j DROP

 

Нормальные NTP запросы и ответы проходят нормально.

Попытки DDOS фильтруются.

 

 

первая строчка для Джуна?

Share this post

Link to post
Share on other sites

agach   

agach
Posted · Report post

вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли.

Share this post

Link to post
Share on other sites

darkagent   

darkagent
Posted · Report post

интенсивных запросов изнутри не нашли.

Только полный идиот будет устраивать целенаправленную ddos атаку на хост, находящийся за тем же провайдером. Почитайте на досуге как ntp ddos работает, и все вопросы отпадут. Может оказаться и так, что инициатор атаки и вовсе находится за пределами материка ;)

Share this post

Link to post
Share on other sites

agach   

agach
Posted · Report post

Идиотов, в том числе полных, среди наших сограждан, в том числе абонентов, достаточно. У нас был один такой смешной чудак, вот и на этот раз подумали, что возможен рецидив. Механизм работы как раз понятен. Непонятны мотивы и цели.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...