[NikAlexAn]

вопрос как определить источник ддоса - внутренний или внешний ? мы вчера словили нехилый такой нтп-шный ддос., был на конкретный айпишник, прекратился только после того как убрали этот ип. перелопатили нетфлоу - интенсивных запросов изнутри не нашли.

Насколько помню там на цель прилетали ответы от нтп серверов на которые запросы шли якобы с адреса цели.

К вам то ответы прилетали или запросы?

[agach]

ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток.

[DGM]

ответы прилетали.забили 2 аплинка по 1 гигу напрочь. 1 аплинк написал, что 5 Гбит/сек был поток.

Как отбивались, если не секрет?

[agach]

пакеты валились только на один ip, мы его убрали из роутинга, стало полегче, потом попросили аплинков временно закрыть трафик на этот ip. ну и впредь закрыли большие ntp пакеты.

[RN3DCX]

Всем привет. Тоже решили закрыться от ddos. Но что-то у нас не сходится..

 

Вобщем получается, что NTPv2-клиент шлёт с любого порта на 123 порт сервера. Сервер отвечает со 123-порта на порт клиента.

NTPv3 и v4 работают 123-123 и клиент и сервер.

 

В логах атак, которые нам прислали пострадавшие, указан NTPv2. Быть может в 3-й и 4-й версии такой уязвимости нет? Тогда можно закрыть вход в локалку на 123 порт с любого отличного от 123.

 

А ещё не понятно большие пакеты надо дропать или маленькие, потому как есть противоречащие посты в этой теме.

 

Еще, замечено, что нормальная длина NTP пакета - 48.

Если длина пакета - 8, это 99% пакет сгенерирован для DDOS.

 

Мы блокируем пакеты более 152 байт по 123 порту. При нормальном поведении этого размера пакета достаточно.

При DDOS размеры пакетов больше.

 

 

 

Вопрос длинны пакета так и не был раскрыт....

Мож кто внесет ясность в данный вопрос?

[YuryD]

Вопрос длинны пакета так и не был раскрыт....

Мож кто внесет ясность в данный вопрос?

 

ntp ampl гуглите. Суть простая - любой дырявый ntpserver способен в ответ на кривой короткий запрос, сгенерить ответ в 650 раз больше, причем это udp. Вывод - фильтруйте все запросы извне на ntp из блока клиентов.

[RN3DCX]

Если я вас правильно понял, ACL правило:

deny udp any host X.X.X.X 0.0.0.255 eq 123

permit any any

должно спасти от напасти?

[YuryD]

Если я вас правильно понял, ACL правило:

deny udp any host X.X.X.X 0.0.0.255 eq 123

permit any any

должно спасти от напасти?

Если исходить из того, что у клиентов в принципе не может быть валидного ntp-сервера... У меня киска своя для ntp внутри лежит, для неё allow, остальным - deny. Кому точное время надо - пишите запрос, дам ip сервера... С этой хренью я на видеорегистраторах дырявых похлебал.... Нее, узел не лёг, лежали каналы клиентов в полку.

[RN3DCX]

Кому точное время надо - пишите запрос, дам ip сервера...

 

 

Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам,

тогда уж напрашиваются два варианта:

1. Завернуть на свой ntp север, ntp запросы хомяков.

Первая мысль - прозрачный прокси, но это не комильфо...

Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей.

2. Изменить DNS запись, к топовым ntp серверам на свой IP.

[YuryD]

Зачем такие сложности ? Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье. Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо.

[Mechanic]

Кому точное время надо - пишите запрос, дам ip сервера...

 

Лень двигатель прогресса, чтоб никто не беспокоил, по мелочам,

тогда уж напрашиваются два варианта:

1. Завернуть на свой ntp север, ntp запросы хомяков.

Первая мысль - прозрачный прокси, но это не комильфо...

Не совсем пока ясна картина, но полагаю что cisco справиться с этой задачей.

2. Изменить DNS запись, к топовым ntp серверам на свой IP.

3 вариант -раздавать по dhcp своим абонам свой ntp

[RN3DCX]

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

[YuryD]

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

 

Никак, у мелкософт свой протокол, не совсем ntp. Есть список ntp серверов, и если хотите иметь стратум крутой - к ним пишите запрос, на тему а не могу ли я у вас время для себя брать ? В свое время со стратумом 2 писал запросы - дали... теперь имею стратум 3, что мои железки вполне пережевывают, мне микросекунды на нужны...

[Mechanic]

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

в dhcp ответе передаем option time-servers ip-address

и time.windows.com меняется на свой сервак

на xp работает 100%

[Jora_Cornev]

Запросы udp 123 на клиентские ip не должны совсем ходить из внешнего мира. Остальные - на здоровье.

Господа, позвольте обратиться с вопросом!?

Может быть конечно хочется странного, но

можно ли организовать подобную схему через

class-map и policy-map

[mcdemon]

Mechanic, а можно немного теории.

Мне вот интересно, чисто теоретически,

в 7-ом окне у мелкософта дефолтом указан time.windows.com

и вот вопрос: как свой NTP может откликнуться на time.windows.com ?

в dhcp ответе передаем option time-servers ip-address

и time.windows.com меняется на свой сервак

на xp работает 100%

пробовал на 7ке, не менялся

но может я не так что-то сделал...

но даже еслибы это работало, у большинства абонов роутеры. и соответственно компьютер не получит ntp через dhcp от провайдера

Edited January 9, 2017 by mcdemon

[Ivan_83]

Всё смешалось: люди, кони...

 

Резать ntp из инета к абоненту - значит уменьшать исходящий трафик от абонента (предотвращение амплификации).

Резать абонентский ntp - оставлять его без синхронизации/сервиса.

Если очень хочется/колется можно порезать пакетрейт на юдп 123 от клиента, скажем до 10 пакетов в секунду, это не сломает ничего радикально но зловредам нагадит сильно.

 

 

как свой NTP может откликнуться на time.windows.com ?

Добавляешь в свой ДНС запись на свой ип.

Либо резолвишь ихний и все запросы к нему натишь на свой.

Обычная схема, ничего нового.

 

 

Никак, у мелкософт свой протокол, не совсем ntp.

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

 

 

в dhcp ответе передаем option time-servers ip-address и time.windows.com меняется на свой сервак на xp работает 100%

Чтобы избежать мистики лучше посмотреть какие опции запрашивает клиент: если там есть опция с нтп сервером то скорее всего клиент её юзает, а если её там нет то даже если и впихнуть в ответ насильно (отступая от RFC) то клиент скорее всего её не отработает-пропустит.

[Butch3r]

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

плюс 1. у меня в винде прописан наш NTP сервер, всё работает как часы.

[azhur]

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются.

[DenKZ]

Начиная с Win2003 там полноценный NTP сервер, но настроенный по умолчанию на свою собственную авторизацию... В реестре можно включить стандартный режим...

[YuryD]

Пруфы будут?

А то у меня домашние компы с вендой всегда прекрасно брали время с домашнего сервера на фре.

Из моего опыта, на винде всё тот же NTP, но как-то хитро порезанный. Сама винда синхронизируется от кого хочешь без проблем, а вот от винды некоторые сетевые железяки синхронизироваться отказываются.

 

До winme винда могла только в локалке синхронизовать время со своим сервером. Для инета ставились внешние программы типе timerc.

[RN3DCX]

Заодно и dns ampl зарубить, ну не бывает у клиентов днс-серверов. Вдогон - и телнет тоже до клиентов рубить надо.

 

Т.е. deny 53 порт?

[zhenya`]

откройте для себя qrator.

 

ну и да.

 

deny udp / tcp 53 (естественно для своих днс стоит сделать исключения).

 

заодно еще udp 1900 в сторону абонентов заблокируйте.

[vlad11]

откройте для себя qrator.

 

Точнее статистику qrator'a по AS.

А потом расскажете, как заставить клиентов эти уязвимости выключить.

Я вот открытые прокси не могу заставить провайдеров выключить...

[zhenya`]

Которую из? Я тупо блочил порты 53ые в сторону днс с открытой рекурсией для физиков. Для нормальных юриков созванивались.