IPTable'lardaki NTP yansıma saldırılarıyla başa çıkmak

16

Colocated sunucularımızda bir NTP yansıma / amplifikasyon saldırısı ile uğraşıyoruz . Bu soru, NTP yansıma saldırılarına yanıt vermeye özgüdür ve genel olarak DDoS'ye yönelik değildir.

İşte trafik:

yönlendirici ağ trafik grafiği

Yönlendiricimizde biraz CPU çalkalanıyor:

yönlendirici CPU kullanım grafiği

Maalesef, yukarı akış sağlayıcımızın trafiği karartmasına neden olacak kadar büyük değil, bu da bize geçtiği anlamına geliyor.

123 numaralı bağlantı noktasından kaynaklanan NTP trafiğini engellemek için aşağıdaki kuralı kullandık:

-p udp --sport 123 -j DROP

Bu, IPTable'lardaki ilk kuraldır.

Çok araştırdım ve bir NTP yansıma saldırısını azaltmak için IPTable'ların nasıl kullanılacağı hakkında çok fazla bilgi bulamıyorum. Ve bazı bilgiler düz yanlış görünüyor. Bu IPTable kuralı doğru mu? Akış yukarı ağ sağlayıcımızla iletişim kurmak dışında bir NTP yansıma / yükseltme saldırısını azaltmak için ekleyebileceğimiz veya yapabileceğimiz başka bir şey var mı?

Ayrıca: Bu saldırganların ağları

  • paketlerde IP adresinin taklit edilmesine izin ver
  • 2010 NTP kodunda yaklaşık

Bu IP adreslerini, sahte paketlere izin vermeyi durdurmak ve NTP sunucularını yamalamak için sabitlenebilecekleri genel bir takas odası var mı?

ntp  ddos 
Jeff Atwood
kaynak
10
Evet iptables kuralı doğrudur, ancak borunun sonunda, sunucunuzda bir paket filtre çalıştırmak, borunun dolmasını engellemez, daha fazla arka plan için bkz: serverfault.com/questions/531941/i-am- altında-ddos-ne-can-i-do
HBruijn

Yanıtlar:

20

Esas olarak, DDoS saldırısı Internet'e sahip olduğunuz her boruyu doldurmayı başarırsa şansınız kalmaz (herhangi bir UDP yansıma saldırısının amacı - boruyu doldurmak için). Akış yukarı bağlantınız 1 Gbps trafik alabilirse ve bağlantıdan aşağı gitmek için toplam 2 Gbps trafik varsa, bunun yarısı yönlendiricinin veya paketleri bağlantıya bırakan anahtar tarafından bırakılacaktır. Saldırgan, saldırı trafiğinin yarısının düşmesini umursamıyor, ancak müşterileriniz şunu yapıyor: Bir TCP bağlantısında% 50 paket kaybı , bu bağlantıların performansı ve güvenilirliği için korkunç, korkunç şeyler yapacak.

Hacimsel DDoS saldırısını durdurmanın yalnızca iki üç yolu vardır:

  1. Saldırı trafiğinin doldurmayacağı kadar büyük bir boruya sahip olun.
  2. Saldırı paketlerini borudan aşağı inmeden önce durdurun.
  3. NTP yansıma saldırısı altında olmayan farklı bir IP adresine geçin.

Onları iptables'da engellemek çömelmez, çünkü o zamana kadar saldırı trafiği zaten yasal trafiği sıktı ve yere düşmesine neden oldu, böylece saldırgan kazandı. Saldırı trafiğini yönlendiren yukarı akış yönlendiricisini veya anahtarını (muhtemelen) denetlemediğiniz için, evet, yukarı akış ağ sağlayıcınızla iletişim kurmanız ve saldırı trafiğinin ağınıza ulaşmasını durdurmak için bir şeyler yapmalarını sağlamanız gerekir bağlantı, bu olsun

  • saldırı portundaki tüm trafiği engelle (çoğu ISS'nin colo müşteri erişim yönlendiricilerinde yapmak istediği bir şey değil, çünkü $REASONS)

  • Saldırının kaynak IP adreslerini filtreleyin (S / RTBH ile daha mantıklı, ancak her sağlayıcının zaten sahip olduğu bir şey değil)

  • en kötü durumda, hedef IP adresini karartın

IP'nin karartmanın yalnızca çalışmaya devam edebilecek başka IP adresleriniz varsa işe yaradığını unutmayın - sağlayıcınız tek IP adresinizi karartırsa, saldırgan başarılı olmuştur, çünkü İnternet'ten çıkmaya çalıştınız, bu da elde etmeye çalıştıkları şeydir ilk başta.

womble
kaynak
İSS'lerin neden trafiği engellemek istemediklerine dair bir fikriniz var mı?
André Borie
4
Bunun birçok nedeni var. 1. İSS'ler trafiği iletmek için ödeme alır, engellemez. 2. Yalnızca daha yüksek uç ağ ekipmanı, pahalı (100G +) trafik hacimlerinde hat hızı denetimi yapabilir. 3. Bir çekirdek yönlendiricideki hatları yapılandırmak için müşteri talebinden gitmek önemsiz değildir.
womble
5

ISS'nize kendi yönlendiricinizde / güvenlik duvarınızda sonlanan bir borunuz olduğunu varsayacağım. Sonra bu yönlendiricinin / güvenlik duvarının arkasında kendi makineleriniz var. İSS trafiği engellemeyecektir, bu nedenle kendinizle başa çıkmak zorundasınız. Yönlendirici / güvenlik duvarındaki trafiği, yönlendirici / güvenlik duvarındaki yükü en aza indirirken arkasındaki makinelere çarpmasını durdurmak için engellemek istiyorsunuz.

Kuralınız, standart bağlantı noktasındaki bir ntp sunucusundan gelen her şeyi bırakmak için doğru görünüyor. Aslında ntp kullanıyorsanız, güvenlik duvarı kurallarınızda delik açmanız gerekebileceğini unutmayın

Güvenlik duvarınız bağlantı izleme kullanıyorsa (çoğu uygulama), paketleri bağlantı izleme makinesine ulaşmadan önce bırakmak için "ham" tabloyu kullanmak isteyebilirsiniz.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

Peter Green
kaynak
1

NTP kötüye kullanımı için IP'leri (ve umarım NTP düzeltme ekini)

http://openntpproject.org/

Sahte IP'lere izin veren ağları bildirmeye gelince, fazla bir şey bulamıyorum :

Ölçümlerimiz, tarama yaptığımız otonom sistemlerin ve netblokların yaklaşık% 25'i arasında kimlik sahtekarlığının hâlâ yaygın olduğunu göstermektedir. Daha da önemlisi, sahte trafik için tek bir giriş noktası, saldırganlara tüm İnternet'e sahte trafik göndermesi için bir araç sağlar. İSS'ler giden trafiğinin sahte olmadığından emin olmak için filtreleme [RFC2827] kullanabilirler.

Belki de tek yöntem doğrudan ISS ile temas kurmaktır?

Jeff Atwood
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.