Mamy do czynienia z atakiem odbicia / wzmocnienia NTP na naszych kolokowanych serwerach. To pytanie jest specyficzne w odpowiedzi na ataki odbiciowe NTP i nie jest skierowane ogólnie do DDoS.
Oto ruch:
Trwa procesor na naszym routerze:
Niestety nie jest wystarczająco duży, aby spowodować, że nasz dostawca usług nadrzędnych zakłócał ruch, co oznacza, że przechodzi on do nas.
Zastosowaliśmy następującą regułę, aby zablokować ruch NTP, który pochodzi z portu 123:
-p udp --sport 123 -j DROP
To jest pierwsza reguła w IPTables.
Dużo szukałem i nie mogę znaleźć bardzo dużo informacji o tym, jak używać IPTables, aby złagodzić atak odbicia NTP. Niektóre z tych informacji wydają się całkowicie niepoprawne. Czy ta reguła IPTables jest poprawna? Czy jest coś, co możemy dodać lub zrobić, aby złagodzić atak odbicia / wzmocnienia NTP, poza kontaktowaniem się z naszym dostawcą sieci?
Ponadto: ponieważ ci napastnicy muszą korzystać z sieci, które
- zezwalaj na fałszowanie adresu IP w pakietach
- mają niepoprawiony, około 2010 kod NTP
czy istnieje jakakolwiek globalna izba rozliczeniowa, w której możemy zgłaszać te adresy IP, aby były one ustawione tak, aby przestały zezwalać na sfałszowane pakiety i łatały swoje serwery NTP?
Odpowiedzi:
Zasadniczo masz pecha, jeśli atak DDoS zdoła wypełnić dowolną rurkę dostępną w Internecie (co jest celem każdego ataku odbicia UDP - aby wypełnić rurę). Jeśli twoje łącze nadrzędne może znieść ruch 1 Gb / s, a łączny ruch to 2 Gb / s, wówczas połowa z niego zostanie zrzucona przez router lub przełącznik, który przesyła pakiety w dół łącza. Atakującemu nie przeszkadza, że połowa ruchu związanego z atakami zostanie porzucona, ale Twoi klienci tak robią: 50% utrata pakietów w połączeniu TCP spowoduje straszne, straszne rzeczy w zakresie wydajności i niezawodności tych połączeń.
Istnieją tylko
dwatrzy sposoby zatrzymania wolumetrycznego ataku DDoS:Zablokowanie ich w iptables nie spowoduje przysiadu, ponieważ do tego czasu ruch atakujący już wyparł prawidłowy ruch i spowodował, że spadł na podłogę, więc atakujący wygrał. Ponieważ (prawdopodobnie) nie kontrolujesz routera ani przełącznika, który przekazuje ruch atakujący, tak, musisz skontaktować się z dostawcą sieci upstream i poprosić ich, aby zrobili coś, aby powstrzymać ruch atakowy przed dotarciem do twojej sieci link, czy to będzie
blokuje cały ruch w porcie ataku (nie jest to coś, co większość dostawców usług internetowych chce robić na swoich routerach dostępu klienta colo
$REASONS)odfiltruj źródłowe adresy IP ataku (bardziej prawdopodobne, z S / RTBH, ale nie coś, co każdy dostawca już ma)
w najgorszym przypadku zakotwicz docelowy adres IP
Pamiętaj, że blackholing adresu IP działa tylko wtedy, gdy masz inne adresy IP, które mogą kontynuować działanie - jeśli twój dostawca zablokuje twój jedyny adres IP, atakujący się powiódł, ponieważ nie masz połączenia z Internetem, co starali się osiągnąć na pierwszym miejscu.
źródło
Zakładam, że masz potok do swojego ISP, który kończy się na twoim routerze / firewallu. Następnie za tym routerem / zaporą masz własne maszyny. ISP nie blokuje ruchu, więc musisz sobie z tym poradzić. Chcesz zablokować ruch na routerze / zaporze, aby zatrzymać uderzanie w maszyny za nim, jednocześnie minimalizując obciążenie routera / zapory.
Twoja reguła wygląda tak, jakby upuszczała wszystko, co pochodzi z serwera NTTP na standardowy port. Pamiętaj, że jeśli faktycznie używasz ntp, może być konieczne wybijanie dziur w regułach zapory
Jeśli twoja zapora ogniowa wykorzystuje śledzenie połączeń (większość tak robi), możesz użyć tabeli „surowej”, aby upuścić pakiety, zanim dotrą one do urządzenia do śledzenia połączeń.
iptables -t raw -A PREROUTING -p udp --sport 123 -j DROPźródło
Wygląda na to, że możemy zgłosić adresy IP nadużyć NTP (i, mam nadzieję, łatanie NTP) do
http://openntpproject.org/
Jeśli chodzi o sieci raportujące, które zezwalają na sfałszowane adresy IP, nie mogę znaleźć dużo :
Być może jedyną metodą jest bezpośredni kontakt z dostawcą usług internetowych?
źródło