NikAlexAn Опубликовано 13 августа, 2015 вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли. Насколько помню там на цель прилетали ответы от нтп серверов на которые запросы шли якобы с адреса цели. К вам то ответы прилетали или запросы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 13 августа, 2015 ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DGM Опубликовано 13 августа, 2015 ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток. Как отбивались, если не секрет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 14 августа, 2015 пакеты валились только на один ip, мы его убрали из роутинга, стало полегче, потом попросили аплинков временно закрыть трафик на этот ip. ну и впредь закрыли большие ntp пакеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится.. Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента. NTPv3 и v4 работают 123-123 и клиент и сервер. В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123. А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме. Еще, замечено, что нормальная длина NTP пакета - 48. Если длина пакета - 8, это 99% пакет сгенерирован для DDOS. Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно. При DDOS размеры пакетов больше. Вопрос длинны пакета так и не был раскрыт.... Мож кто внесет ясность в данный вопрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 Вопрос длинны пакета так и не был раскрыт.... Мож кто внесет ясность в данный вопрос? ntp ampl гуглите. Суть простая - любой дырявый ntpserver способен в ответ на кривой короткий запрос, сгенерить ответ в 650 раз больше, причем это udp. Вывод - фильтруйте все запросы извне на ntp из блока клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 Если я вас правильно понял, ACL правило: deny udp any host X.X.X.X 0.0.0.255 eq 123 permit any any должно спасти от напасти? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 Если я вас правильно понял, ACL правило: deny udp any host X.X.X.X 0.0.0.255 eq 123 permit any any должно спасти от напасти? Если исходить из того, что у клиентов в принципе не может быть валидного ntp-сервера... У меня киска своя для ntp внутри лежит, для неё allow, остальным - deny. Кому точное время надо - пишите запрос, дам ip сервера... С этой хренью я на видеорегистраторах дырявых похлебал.... Нее, узел не лёг, лежали каналы клиентов в полку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 Кому точное время надо - пишите запрос, дам ip сервера... Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам, тогда уж напрашиваются два варианта: 1. Завернуть на свой ntp север, ntp запросы хомяков. Первая мысль - прозрачный прокси, но это не комильфо... Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей. 2. Изменить DNS запись, к топовым ntp серверам на свой IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 Зачем такие сложности ? Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 8 января, 2017 Кому точное время надо - пишите запрос, дам ip сервера... Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам, тогда уж напрашиваются два варианта: 1. Завернуть на свой ntp север, ntp запросы хомяков. Первая мысль - прозрачный прокси, но это не комильфо... Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей. 2. Изменить DNS запись, к топовым ntp серверам на свой IP. 3 вариант -раздавать по dhcp своим абонам свой ntp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2017 Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 января, 2017 Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? Никак, у мелкософт свой протокол, не совсем ntp. Есть список ntp серверов, и если хотите иметь стратум крутой - к ним пишите запрос, на тему а не могу ли я у вас время для себя брать ? В свое время со стратумом 2 писал запросы - дали... теперь имею стратум 3, что мои железки вполне пережевывают, мне микросекунды на нужны... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 8 января, 2017 Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 8 января, 2017 Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Господа, позвольте обратиться с вопросом!? Может быть конечно хочется странного, но можно ли организовать подобную схему через class-map и policy-map Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 9 января, 2017 (изменено) Mechanic, а можно немного теории. Мне вот интересно, чисто теоретически, в 7-ом окне у мелкософта дефолтом указан time.windows.com и вот вопрос: как свой NTP может откликнуться на time.windows.com ? в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100% пробовал на 7ке, не менялся но может я не так что-то сделал... но даже еслибы это работало, у большинства абонов роутеры. и соответственно компьютер не получит ntp через dhcp от провайдера Изменено 9 января, 2017 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 января, 2017 Всё смешалось: люди, кони... Резать ntp из инета к абоненту - значит уменьшать исходящий трафик от абонента (предотвращение амплификации). Резать абонентский ntp - оставлять его без синхронизации/сервиса. Если очень хочется/колется можно порезать пакетрейт на юдп 123 от клиента, скажем до 10 пакетов в секунду, это не сломает ничего радикально но зловредам нагадит сильно. как свой NTP может откликнуться на time.windows.com ? Добавляешь в свой ДНС запись на свой ип. Либо резолвишь ихний и все запросы к нему натишь на свой. Обычная схема, ничего нового. Никак, у мелкософт свой протокол, не совсем ntp. Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100% Чтобы избежать мистики лучше посмотреть какие опции запрашивает клиент: если там есть опция с нтп сервером то скорее всего клиент её юзает, а если её там нет то даже если и впихнуть в ответ насильно (отступая от RFC) то клиент скорее всего её не отработает-пропустит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 января, 2017 Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. плюс 1. у меня в винде прописан наш NTP сервер, всё работает как часы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 9 января, 2017 Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenKZ Опубликовано 9 января, 2017 Начиная с Win2003 там полноценный NTP сервер, но настроенный по умолчанию на свою собственную авторизацию... В реестре можно включить стандартный режим... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 января, 2017 Пруфы будут? А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре. Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются. До winme винда могла только в локалке синхронизовать время со своим сервером. Для инета ставились внешние программы типе timerc. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 января, 2017 Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо. Т.е. deny 53 порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 января, 2017 откройте для себя qrator. ну и да. deny udp / tcp 53 (естественно для своих днс стоит сделать исключения). заодно еще udp 1900 в сторону абонентов заблокируйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 9 января, 2017 откройте для себя qrator. Точнее статистику qrator'a по AS. А потом расскажете, как заставить клиентов эти уязвимости выключить. Я вот открытые прокси не могу заставить провайдеров выключить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 января, 2017 Которую из? Я тупо блочил порты 53ые в сторону днс с открытой рекурсией для физиков. Для нормальных юриков созванивались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...