Справа з атаками відображення NTP в IPTables

16

Ми маємо справу з атакою відбиття / посилення NTP на наших розміщених серверах. Це питання є специфічним для відповіді на атаки відбиття NTP, а не спрямоване на DDoS в цілому.

Ось трафік:

графік трафіку мережевого маршрутизатора

На нашому маршрутизаторі це трохи процесора:

Графік використання процесора маршрутизатора

На жаль, вона не є достатньо великою, щоб змусити нашого постачальника вище за течією перекрити трафік, а це означає, що він проходить через нас.

Ми використовували таке правило для блокування трафіку NTP, який бере свій початок на порту 123:

-p udp --sport 123 -j DROP

Це перше правило в IPTables.

Я багато шукав, і не можу знайти дуже багато інформації про те, як використовувати IPTables для пом'якшення атаки відбиття NTP. А частина інформації, яка там є, здається неправдивою. Правильне це правило IPTables? Чи є ще щось, що ми можемо додати чи зробити, щоб пом'якшити атаку відбиття / посилення NTP, крім того, щоб звернутися до нашого постачальника мереж вище?

Також: оскільки ці зловмисники повинні використовувати мережі, які

  • дозволяють підробляти ІР-адресу в пакетах
  • мають незавершений, близько 2010 NTP-код

Чи є в будь-якому глобальному кліринговому будинку, до якого ми можемо повідомити ці IP-адреси, щоб вони виправились, щоб перестати дозволяти підробляти пакети та виправляти свої NTP-сервери?

ntp  ddos 
Джефф Етвуд
джерело
10
Так, правило iptables є правильним, але запуск фільтра пакетів у кінці вашої труби на вашому сервері не запобігає заповненню труби. Додаткову інформацію див. На сервері defaultfault.com/questions/531941/i-am- under-ddos-what-can-i-do
HBruijn

Відповіді:

20

По суті, вам не пощастить, якщо DDoS-атаці вдасться заповнити будь-яку трубу, яку ви маєте в Інтернеті (що є метою будь-якої атаки відображення UDP - заповнити трубу). Якщо ваше посилання вище за потоком може зайняти 1 Гбіт / с трафіку, і там (скажімо) 2 Гбіт / с трафіку загалом, щоб спуститися по каналу, то половину його буде скинуто маршрутизатором або комутатором, який ставить пакети вниз посилання. Зловмиснику не байдуже, що половина трафіку атаки падає, але ваші клієнти роблять: 50% втрати пакетів у TCP-з'єднанні будуть робити жахливі, жахливі речі для продуктивності та надійності цих з'єднань.

Існує лише два три способи зупинити об'ємну DDoS-атаку:

  1. Майте досить велику трубу, щоб атаковий трафік не заповнював її.
  2. Зупиніть атакуючі пакети, перш ніж вони спускаються по трубі.
  3. Перейдіть на іншу IP-адресу, яка не знаходиться під атакою відображення NTP.

Блокування їх у iptables не буде робити присідання, оскільки до цього часу атака вже витіснила законний трафік і призвела до того, що він випав на підлогу, тому зловмисник переміг. Оскільки ви (імовірно) не керуєте маршрутизатором або комутатором, який пересилає трафік атаки, на поточний потік, так, вам доведеться зв’язатися з вашим провайдером висхідної мережі та змусити їх зробити щось, щоб зупинити трафік атаки, щоб досягти вашої мережі. посилання, будь то

  • заблокувати весь трафік на порту атаки (не те, що більшість провайдерів готові робити на своїх роутер-роутерах доступу в колонії $REASONS)

  • відфільтрувати вихідні IP-адреси атаки (більш правдоподібно, з S / RTBH, але не те, що кожен постачальник вже має)

  • Найгірший випадок, опустіть IP-адресу призначення

Зауважте, що підключення IP працює лише в тому випадку, якщо у вас є інші IP-адреси, які можуть продовжувати працювати - якщо ваш постачальник обробляє вашу єдину IP-адресу, зловмисник досяг успіху, оскільки ви не в Інтернеті, чого саме вони намагалися досягти. на першому місці.

жіночий
джерело
Чи є у вас ідеї, чому провайдери не хочуть блокувати трафік?
Андре Борі
4
Причин багато. 1. Інтернет-провайдери платять за доставку трафіку, а не блокують його. 2. Тільки мережеве обладнання більш високого класу здатне проводити перевірку лінійної швидкості у великих обсягах трафіку (100G +), що дорого. 3. Не банально переходити від запиту клієнта до конфігурації рядків в основний роутер.
жіноча
5

Я вважаю, що у вас є трубопровід до вашого провайдера, який закінчується на вашому власному маршрутизаторі / брандмауері. Тоді за цим маршрутизатором / брандмауером у вас є власні машини. Інтернет-провайдер не блокує трафік, тому вам доведеться з цим впоратися самостійно. Ви хочете заблокувати трафік на маршрутизаторі / брандмауері, щоб запобігти його попаданню в машини, що знаходяться за ним, при цьому мінімізуючи навантаження на маршрутизатор / брандмауер.

Ваше правило виглядає правильним, щоб викинути все, що надійшло із сервера ntp на стандартний порт. Пам’ятайте, якщо ви насправді використовуєте ntp, можливо, вам доведеться пробивати отвори у правилах вашого брандмауера

Якщо ваш брандмауер використовує відстеження з'єднання (більшість з них), то, можливо, ви захочете скористатися таблицею "необроблений", щоб скинути пакети, перш ніж вони дістаються до механізму відстеження з'єднання.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

Пітер Грін
джерело
1

Схоже, ми можемо повідомити IP-адреси про зловживання NTP (і, сподіваємось, NTP-патчі)

http://openntpproject.org/

Щодо мереж звітування, які дозволяють підробляти IP-адреси, я не можу знайти багато :

Наші вимірювання показують, що підробка все ще переважає серед приблизно 25% автономних систем та мережевих блоків, які ми обстежуємо. Що ще важливіше, єдина точка входу для підробленого трафіку надає зловмисникам засіб відправлення підробленого трафіку на весь Інтернет. Інтернет-провайдери можуть використовувати фільтрацію [RFC2827], щоб упевнитися, що їх вихідний трафік не підробляється.

Мабуть, єдиний метод - безпосередньо зв’язатися з провайдером?

Джефф Етвуд
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.