Jump to content
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли.

Насколько помню там на цель прилетали ответы от нтп серверов на которые запросы шли якобы с адреса цели.

К вам то ответы прилетали или запросы?

Share this post


Link to post
Share on other sites

ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток.

Как отбивались, если не секрет?

Share this post


Link to post
Share on other sites

пакеты валились только на один ip, мы его убрали из роутинга, стало полегче, потом попросили аплинков временно закрыть трафик на этот ip. ну и впредь закрыли большие ntp пакеты.

Share this post


Link to post
Share on other sites

Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится..

 

Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента.

NTPv3 и v4 работают 123-123 и клиент и сервер.

 

В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123.

 

А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно.

При DDOS размеры пакетов больше.

 

 

 

Вопрос длинны пакета так и не был раскрыт....

Мож кто внесет ясность в данный вопрос?

Share this post


Link to post
Share on other sites

Вопрос длинны пакета так и не был раскрыт....

Мож кто внесет ясность в данный вопрос?

 

ntp ampl гуглите. Суть простая - любой дырявый ntpserver способен в ответ на кривой короткий запрос, сгенерить ответ в 650 раз больше, причем это udp. Вывод - фильтруйте все запросы извне на ntp из блока клиентов.

Share this post


Link to post
Share on other sites

Если я вас правильно понял, ACL правило:

deny udp any host X.X.X.X 0.0.0.255 eq 123

permit any any

должно спасти от напасти?

Если исходить из того, что у клиентов в принципе не может быть валидного ntp-сервера... У меня киска своя для ntp внутри лежит, для неё allow, остальным - deny. Кому точное время надо - пишите запрос, дам ip сервера... С этой хренью я на видеорегистраторах дырявых похлебал.... Нее, узел не лёг, лежали каналы клиентов в полку.

Share this post


Link to post
Share on other sites

Кому точное время надо - пишите запрос, дам ip сервера...

 

 

Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам,

тогда уж напрашиваются два варианта:

1. Завернуть на свой ntp север, ntp запросы хомяков.

Первая мысль - прозрачный прокси, но это не комильфо...

Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей.

2. Изменить DNS запись, к топовым ntp серверам на свой IP.

Share this post


Link to post
Share on other sites

Зачем такие сложности ? Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо.

Share this post


Link to post
Share on other sites

Кому точное время надо - пишите запрос, дам ip сервера...

 

Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам,

тогда уж напрашиваются два варианта:

1. Завернуть на свой ntp север, ntp запросы хомяков.

Первая мысль - прозрачный прокси, но это не комильфо...

Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей.

2. Изменить DNS запись, к топовым ntp серверам на свой IP.

3 вариант -раздавать по dhcp своим абонам свой ntp

Share this post


Link to post
Share on other sites

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

Share this post


Link to post
Share on other sites

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

 

Никак, у мелкософт свой протокол, не совсем ntp. Есть список ntp серверов, и если хотите иметь стратум крутой - к ним пишите запрос, на тему а не могу ли я у вас время для себя брать ? В свое время со стратумом 2 писал запросы - дали... теперь имею стратум 3, что мои железки вполне пережевывают, мне микросекунды на нужны...

Share this post


Link to post
Share on other sites

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

в dhcp ответе передаем option time-servers ip-address

и time.windows.com меняется на свой сервак

на xp работает 100%

Share this post


Link to post
Share on other sites

Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье.

Господа, позвольте обратиться с вопросом!?

Может быть конечно хочется странного, но

можно ли организовать подобную схему через

class-map и policy-map

Share this post


Link to post
Share on other sites

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

в dhcp ответе передаем option time-servers ip-address

и time.windows.com меняется на свой сервак

на xp работает 100%

пробовал на 7ке, не менялся

но может я не так что-то сделал...

но даже еслибы это работало, у большинства абонов роутеры. и соответственно компьютер не получит ntp через dhcp от провайдера

Edited by mcdemon

Share this post


Link to post
Share on other sites

Всё смешалось: люди, кони...

 

Резать ntp из инета к абоненту - значит уменьшать исходящий трафик от абонента (предотвращение амплификации).

Резать абонентский ntp - оставлять его без синхронизации/сервиса.

Если очень хочется/колется можно порезать пакетрейт на юдп 123 от клиента, скажем до 10 пакетов в секунду, это не сломает ничего радикально но зловредам нагадит сильно.

 

 

как свой NTP может откликнуться на time.windows.com ?

Добавляешь в свой ДНС запись на свой ип.

Либо резолвишь ихний и все запросы к нему натишь на свой.

Обычная схема, ничего нового.

 

 

Никак, у мелкософт свой протокол, не совсем ntp.

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

 

 

в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100%

Чтобы избежать мистики лучше посмотреть какие опции запрашивает клиент: если там есть опция с нтп сервером то скорее всего клиент её юзает, а если её там нет то даже если и впихнуть в ответ насильно (отступая от RFC) то клиент скорее всего её не отработает-пропустит.

Share this post


Link to post
Share on other sites

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

плюс 1. у меня в винде прописан наш NTP сервер, всё работает как часы.

Share this post


Link to post
Share on other sites

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются.

Share this post


Link to post
Share on other sites

Начиная с Win2003 там полноценный NTP сервер, но настроенный по умолчанию на свою собственную авторизацию... В реестре можно включить стандартный режим...

Share this post


Link to post
Share on other sites

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются.

 

До winme винда могла только в локалке синхронизовать время со своим сервером. Для инета ставились внешние программы типе timerc.

Share this post


Link to post
Share on other sites

откройте для себя qrator.

 

ну и да.

 

deny udp / tcp 53 (естественно для своих днс стоит сделать исключения).

 

заодно еще udp 1900 в сторону абонентов заблокируйте.

Share this post


Link to post
Share on other sites

откройте для себя qrator.

 

Точнее статистику qrator'a по AS.

А потом расскажете, как заставить клиентов эти уязвимости выключить.

Я вот открытые прокси не могу заставить провайдеров выключить...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.