Jump to content
Калькуляторы

Блокируем NTP DDOS борьба с NTP DDOS простыми средствами

откройте для себя qrator.

очень дорогое удовольствие!

 

 

ну и да.

 

deny udp / tcp 53 (естественно для своих днс стоит сделать исключения).

 

заодно еще udp 1900 в сторону абонентов заблокируйте.

P.S. За инфу благодарствую.

По этому поводу решил создать отдельную тему.

Share this post


Link to post
Share on other sites

Я не про сам куратор.

https://radar.qrator.net

Тут регаетесь, добавляете свою ас себе, подтверждаете и радуетесь.

Типы атак/коэфы/айпишники. Все как че и бесплатно

Share this post


Link to post
Share on other sites

 

А потом расскажете, как заставить клиентов эти уязвимости выключить.

А зачем заставлять:

1. физику сразу перекрываем кислород, сам позвонит если что.

2. юрику потихонечку перекрываем кислород после телефонного звонка.

 

 

Я вот открытые прокси не могу заставить провайдеров выключить...

Какой вред провайдеру от прокси?

Share this post


Link to post
Share on other sites

Какой вред провайдеру от прокси?

Ну, этта, канал купленный клиентом выедают. Главбюст клиента не может платёж отправить, в результате - провайдер - гуано. Звонит, ругается, а у них канал в полке.

Share this post


Link to post
Share on other sites

Ну, этта, канал купленный клиентом выедают.

Да, не приятно.

Но не всегда же в плюсе жить.

Ведь большинства клиентов используют 30-50% от оплаченной полосы.

Вот и получает золотая середина, по утилизации канала.

Кто то оплатил канал и не пользуется им, а кто то льет безбожно.

Так что не вижу особой беды с прокси.

 

Главбюст клиента не может платёж отправить, в результате - провайдер - гуано. Звонит, ругается, а у них канал в полке.

Не пойму, если клиент поднял у себя прокси, забил канал под потолок, кто виноват!?. Конечно провайдер....

Но разъяренный Главбюст, на первых подступах к передовой будет нейтрализован тех. поддержкой, которая уже на этом собаку съела.

И об этом с радостью расскажет.

Что мол, уважаемый клиент, в данный момент кто у вас льет очередной сезон полнометражных немецких картин и параллельно еще раздает на пару тыЩь таких же задротов.

При чем за ваш счет и в рабочее время, которое то же оплачивается вами.

90% отсекается, а остальные упоратые 10%, ну как же без них, вечно развлекаю ТП.

 

 

Пока транслировал мысли в тект,

Жаба Аркадьевна ссылаясь на аргументы YuryD, предложила оптимизировать расходы по трафику, путем выявления прокси злодеев.

P.S. Задумался....

Share this post


Link to post
Share on other sites

А каким образом хотя бы притушить такой DDoS - с кучи IP src port 123 льется на "высокие" dst порты клиентов (NAT IP)?

Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-(

Share this post


Link to post
Share on other sites

11 минут назад, jffulcrum сказал:

Просить помощи у вышестоящего

Что и было сделано, но это лечение всего лишь следствия. Никаких гарантий, что завтра эта зараза не прилетит на другой IP

И снова придется к вышестоящему.. Тут снимаем, тут лочим.. Аццкий костыль, однако.. :-(

Услуга защиты от DDoS для оператора стОит бешеных денег, которые руководство не позволит платить..

Share this post


Link to post
Share on other sites

Работайте с источниками трафика на уровне AS - пишите абузы. Чаще всего это какие-нибудь крупные VDS-провайдеры, вроде Хетцнера или Селектела - там поддержка достаточно быстро реагирует. С Китаем, конечно, сложно что-то сделать. 

Share this post


Link to post
Share on other sites

33 минуты назад, AlKov сказал:

А каким образом хотя бы притушить такой DDoS - с кучи IP src port 123 льется на "высокие" dst порты клиентов (NAT IP)?

Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-(

вешать на атакуемый айпи blackhole комьюнити и анонсировать /32 аплинкам

Share this post


Link to post
Share on other sites

6 минут назад, MrNv сказал:

вешать на атакуемый айпи blackhole комьюнити и анонсировать /32 аплинкам

Увы, у меня не прокатит, т.к. bgp у меня нет.. Мы "тупиковый оператор". :-)  Своей AS нет, транзита нет.

Share this post


Link to post
Share on other sites

22 часа назад, TriKS сказал:

Тогда терпеть боль и костылить через апстрима. Иначе увы - никак.

А что может предложить мне апстрим? Ну или что мне у него запросить реализовать?

Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается..

Share this post


Link to post
Share on other sites

1 hour ago, AlKov said:

А что может предложить мне апстрим?

Зависит от апстрима , может послать, т.к.  у него ничего нет, а может и предложить полноценную защиту от ддос атак.

Share this post


Link to post
Share on other sites

 

2 часа назад, AlKov сказал:

 Ну или что мне у него запросить реализовать?

можно и bgp попросить, для этого не обязательно иметь префикс и ас

Share this post


Link to post
Share on other sites

13 минут назад, MrNv сказал:

 

можно и bgp попросить, для этого не обязательно иметь префикс и ас

 Не у всех на приватных AS можно. Зато у большинства можно аутсорминг попросить. Ну и в свете оптимизайций у ттк лучше вообще ничего не брать и просить бесполезно. ттк это теперь почти ртк :(

Share this post


Link to post
Share on other sites

3 часа назад, AlKov сказал:

А что может предложить мне апстрим? Ну или что мне у него запросить реализовать? 

Реален ли вариант не "ручного привода"? Как-то уж шибко хлопотный он получается.. 

Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут.

1 час назад, MrNv сказал:

можно и bgp попросить, для этого не обязательно иметь префикс и ас

И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст.

Нормальные апстримы сами  в состоянии детектить ДДоС и отправлять в блекхол.

Share this post


Link to post
Share on other sites

10 минут назад, TriKS сказал:

И что это ТСу даст в принципе? Ну будет у него iBGP c апстримом. Как ТСу детектить ДДоС? Нужно развернуть свою сстему обнаружения. Да хотя бы тот же нетфлоу собирать куда-то и руками анализировать.... Но поять же - руками... Т.е. ничего это не даст.

Нормальные апстримы сами  в состоянии детектить ДДоС и отправлять в блекхол.

так он пишет что

Цитата

Пробовал тупо завернуть в null трафик на атакуемый IP на пограничном роутере - спасает только клиентов, аплинк все равно в полку.. :-(

т.е. какая то детекция есть, защита ниже стоящего оборудования тоже, а вот разгрузить аплинк как раз bgp и помог бы. Защита аплинками обычно денег стоит а комьюнити пока еще бесплатно

Share this post


Link to post
Share on other sites

29 минут назад, TriKS сказал:

Все завсисит от апстрима. Если он может детектить ДДОС и автоматом блоекхолить атакуемый адрес - то да, возможен авторежим. Но тогда ЛЮБОЙ трафик до вашего ИП, атакуемого извне, будет дропнут.

Ну вообщем-то, именно этот вариант и был предложен первым. Естественно, он меня почти не устраивает, т.к. при этом я полностью теряю контроль над ситуацией.

Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp".

 

Кстати..

1 час назад, YuryD сказал:

у ттк лучше вообще ничего не брать и просить бесполезно. ттк это теперь почти ртк :(

Наш апстрим именно ТТК. И я бы не сказал, что они уже близкИ к РТК. Все вполне адекватно и достаточно оперативно.

Может конечно, потому-что мы с ними почти 15 лет работаем.

Да, еще один момент забыл уточнить - паблик IP у нас PA и именно от ТТК.

15 минут назад, MrNv сказал:

т.е. какая то детекция есть,

Да какая нахрен детекция! Бедный старый сисадмин ( я то бишь ) ломает себе мозг, шарясь глазьями по всяческим нетфлоу файлам и выхлопам tcpdump-а. :-)

Вместо того, чтобы спокойно спать (последняя атака стартанула в 23:30 и жужжела целый час). 

Share this post


Link to post
Share on other sites

52 минуты назад, MrNv сказал:

т.е. какая то детекция есть, защита ниже стоящего оборудования тоже

Это все - ручное рукоблудие. Разворачивать "авто" - стоит денег, порой куда бОльших, чем заказать простенькую защиту у апстрима.

38 минут назад, AlKov сказал:

Пока обсуждаем более гибкий вариант - blackhol-ить только паразитный трафик, типа того же "левого ntp". 

в блекхол нельзя отправить порт. Увы. Разве что костылить скрипты обработки правил со стороны апстрима. Ну типа получил от вас комьюнити - запустили скрипт, который дропает трафик на диапазон портов. Но что-то мне подсказывает, что вам это врядли светит. Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты....

 

Edited by TriKS

Share this post


Link to post
Share on other sites

34 минуты назад, TriKS сказал:

запустили скрипт, который дропает трафик на диапазон портов.

да, именно что-то подобное я и имел ввиду.

 

35 минут назад, TriKS сказал:

Да и толку большого не даст. Потому как ДНС\НТП амплификация может внезапно перерасти в обычный UDP\TCP-SYN от ботнета на рандомные порты....

В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN, т.к. "ответа" от атакуемого IP я не наблюдал. И трафик летел именно на рандомные порты (что-то >3000).

Но вот src всегда был 123. Т.е. как бы есть за что зацепиться.

Или я ошибаюсь?

 

Share this post


Link to post
Share on other sites

1 час назад, AlKov сказал:

да, именно что-то подобное я и имел ввиду.

это костыль жесткий. И вам всеравно нужно отливить руками что летит, затем запихать это в комьюнити(отдельное комьюнити под каждый диапазон портов!), апстрим по этому комьюнити уже будет у себя скрипт запускать, который побежит на их бордер и поблочит то, что прописано. Но это врядли реализуется в вашем случае, да и костыль это. И не убирает работы руками по поиску того, что и куда летит.

1 час назад, AlKov сказал:

В моем случае, очень похоже, что ко мне летел именно тот самый UDP-SYN

у UDP нет SYN. Это протокол без установки сосединения.

1 час назад, AlKov сказал:

Но вот src всегда был 123. Т.е. как бы есть за что зацепиться. 

Ну ОК. НТП амплификация. Вам нужно зарезать все пакеты в сторону вашего IP по src port + разрешить эти пакеты со списка валидных НТП. Апстрим сделает это? Кто будет следить за валидным списком НТП? Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку. Но почему многим пофиг - это другая история.

Edited by TriKS

Share this post


Link to post
Share on other sites

2 часа назад, TriKS сказал:

у UDP нет SYN. Это протокол без установки сосединения.

Ну да, фигню брякнул.. Совсем отупел с этим DDoS.. :-(

2 часа назад, TriKS сказал:

Вообще под эту пьянку есть рекомендация, дропать пакеты из внутренней сети в мир интернетов, если src в пакете не соответствует используемому блоку.

А как это выглядит? Можно поподробнее?

Share this post


Link to post
Share on other sites

Я делал на базе заббикса, на атакуемых серверах стояли агенты, как только заббикс триггерил выход за рамки нормального профиля то выполнялось действие для хоста по ssh,

в нём на атакуемом сервере запускался tcpdump с паравозом пайпов который выдавал на выходе через несколько секунд атакуемый ip (на серверах их было много),

этот айпишник через < тут же закидывался в скрипт который врывался по телнету на маршрутизатор и добавлял его с blackhole коммюнити аплинкам.

 

Делал на коленках, скорость срабатывания была не хуже 65-70 секунд, но это из-за снятия данных раз в минуту. Быстрее не нужно было.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.