Abbiamo a che fare con un attacco di riflessione / amplificazione NTP sui nostri server associati. Questa domanda è specifica per rispondere agli attacchi di riflessione NTP e non è diretta a DDoS in generale.
Ecco il traffico:
Sta sfornando un po 'di CPU sul nostro router:
Sfortunatamente non è abbastanza grande da indurre il nostro fornitore a monte a oscurare il traffico, il che significa che ci passa attraverso.
Abbiamo utilizzato la seguente regola per bloccare il traffico NTP, che ha origine sulla porta 123:
-p udp --sport 123 -j DROP
Questa è la prima regola in IPTables.
Ho cercato molto e non riesco a trovare molte informazioni su come utilizzare le tabelle IPT per mitigare un attacco di riflessione NTP. E alcune delle informazioni là fuori sembrano completamente errate. Questa regola IPTables è corretta? C'è qualcos'altro che possiamo aggiungere o fare per mitigare un attacco di riflessione / amplificazione NTP oltre a contattare il nostro fornitore di rete upstream?
Inoltre: dal momento che questi aggressori devono utilizzare reti che
- consentire lo spoofing dell'indirizzo IP nei pacchetti
- hanno un codice NTP del 2010 senza patch
esiste una stanza di compensazione globale a cui possiamo segnalare questi indirizzi IP, in modo che vengano riparati per interrompere il rilascio di pacchetti contraffatti e applicare patch ai loro server NTP?