Gestione degli attacchi di riflessione NTP nelle tabelle IP

16

Abbiamo a che fare con un attacco di riflessione / amplificazione NTP sui nostri server associati. Questa domanda è specifica per rispondere agli attacchi di riflessione NTP e non è diretta a DDoS in generale.

Ecco il traffico:

Sta sfornando un po 'di CPU sul nostro router:

Sfortunatamente non è abbastanza grande da indurre il nostro fornitore a monte a oscurare il traffico, il che significa che ci passa attraverso.

Abbiamo utilizzato la seguente regola per bloccare il traffico NTP, che ha origine sulla porta 123:

-p udp --sport 123 -j DROP

Questa è la prima regola in IPTables.

Ho cercato molto e non riesco a trovare molte informazioni su come utilizzare le tabelle IPT per mitigare un attacco di riflessione NTP. E alcune delle informazioni là fuori sembrano completamente errate. Questa regola IPTables è corretta? C'è qualcos'altro che possiamo aggiungere o fare per mitigare un attacco di riflessione / amplificazione NTP oltre a contattare il nostro fornitore di rete upstream?

Inoltre: dal momento che questi aggressori devono utilizzare reti che

consentire lo spoofing dell'indirizzo IP nei pacchetti
hanno un codice NTP del 2010 senza patch

esiste una stanza di compensazione globale a cui possiamo segnalare questi indirizzi IP, in modo che vengano riparati per interrompere il rilascio di pacchetti contraffatti e applicare patch ai loro server NTP?

ntp ddos

— Jeff Atwood
fonte

10

Sì, la regola iptables è corretta, ma l'esecuzione di un filtro pacchetti alla fine della pipe, sul server, non impedisce il riempimento della pipe, per ulteriori informazioni, vedere: serverfault.com/questions/531941/i-am- under-ddos-what-can-i-do

— HBruijn,

20

In sostanza, sei sfortunato se l'attacco DDoS riesce a riempire qualunque pipe tu abbia su Internet (che è lo scopo di qualsiasi attacco di riflessione UDP - riempire la pipe). Se il tuo collegamento a monte può richiedere 1 Gbps di traffico e ci sono (diciamo) 2 Gbps di traffico totale per scendere il collegamento, allora metà di esso verrà eliminata dal router o switch che sta mettendo i pacchetti giù nel collegamento. L'attaccante non si preoccupa del fatto che metà del traffico degli attacchi venga eliminato, ma i tuoi clienti lo fanno: la perdita del pacchetto del 50% in una connessione TCP farà cose terribili e terribili per le prestazioni e l'affidabilità di tali connessioni.

Ci sono solo ~~due~~ e tre modi per fermare un attacco DDoS volumetrico:

Avere una pipa abbastanza grande da non riempire il traffico di attacco.
Fermare i pacchetti di attacco prima che finiscano nel tubo.
Passa a un indirizzo IP diverso che non sia sotto attacco di riflessione NTP.

Bloccarli in iptables non farà squat, perché a quel punto il traffico di attacco ha già spremuto il traffico legittimo e fatto cadere a terra, quindi l'attaccante ha vinto. Dato che (presumibilmente) non controlli il router a monte o lo switch che sta inoltrando il traffico di attacco, sì, dovrai metterti in contatto con il tuo provider di rete a monte e fare in modo che impedisca al traffico di attacco di raggiungere la tua rete link, sia esso

bloccare tutto il traffico sulla porta di attacco (non qualcosa che la maggior parte degli ISP è disposto a fare sui propri router di accesso al cliente colo, per $REASONS)
filtrare gli indirizzi IP di origine dell'attacco (più plausibile, con S / RTBH, ma non qualcosa che tutti i provider hanno già disponibile)
nel peggiore dei casi, buca nera l'indirizzo IP di destinazione

Nota che il blackholing dell'IP funziona solo se hai altri indirizzi IP che possono continuare a funzionare - se il tuo provider blackhole il tuo unico indirizzo IP, l'attaccante ha avuto successo perché sei fuori da Internet, che è quello che stavano cercando di ottenere innanzitutto.

— womble
fonte

Avresti qualche idea sul perché gli ISP non vorrebbero bloccare il traffico?

— André Borie,

4

Ci sono molte ragioni. 1. Gli ISP vengono pagati per consegnare il traffico, non per bloccarlo. 2. Solo le apparecchiature di rete di fascia più alta sono in grado di eseguire ispezioni a velocità di linea su grandi volumi di traffico (100 G +), il che è costoso. 3. Non è banale passare dalla richiesta del cliente alla configurazione delle linee in un router principale.

— Womble

5

Presumo che tu abbia una pipe al tuo ISP che termina sul tuo router / firewall. Quindi dietro quel router / firewall hai le tue macchine. L'ISP non bloccherà il traffico, quindi dovrai affrontarlo da solo. Si desidera bloccare il traffico sul router / firewall per impedire che colpisca le macchine dietro di esso riducendo al minimo il carico sul router / firewall.

La tua regola sembra giusta per eliminare tutto ciò che proviene da un server ntp sulla porta standard. Ricorda che se usi effettivamente ntp potresti dover creare buchi nelle regole del firewall

Se il firewall utilizza il tracciamento della connessione (la maggior parte lo fa), è possibile che si desideri utilizzare la tabella "raw" per eliminare i pacchetti prima che raggiungano il macchinario di tracciamento della connessione.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

— Peter Green
fonte

1

Sembra che possiamo segnalare gli IP per abuso di NTP (e, si spera, patching NTP) a

http://openntpproject.org/

Per quanto riguarda le reti di reporting che consentono IP falsificati, non riesco a trovare molto :

Le nostre misurazioni mostrano che lo spoofing è ancora prevalente tra circa il 25% dei sistemi autonomi e netblock che esaminiamo. Ancora più importante, un unico punto di ingresso per il traffico contraffatto fornisce agli aggressori un mezzo per inviare traffico contraffatto a tutta Internet. Gli ISP possono utilizzare il filtro [RFC2827] per garantire che il loro traffico in uscita non sia falsificato.

Forse l'unico metodo è contattare direttamente l'ISP?

— Jeff Atwood
fonte