Radzenie sobie z atakami odbiciowymi NTP w IPTables

16

Mamy do czynienia z atakiem odbicia / wzmocnienia NTP na naszych kolokowanych serwerach. To pytanie jest specyficzne w odpowiedzi na ataki odbiciowe NTP i nie jest skierowane ogólnie do DDoS.

Oto ruch:

wykres ruchu sieciowego routera

Trwa procesor na naszym routerze:

wykres wykorzystania procesora routera

Niestety nie jest wystarczająco duży, aby spowodować, że nasz dostawca usług nadrzędnych zakłócał ruch, co oznacza, że ​​przechodzi on do nas.

Zastosowaliśmy następującą regułę, aby zablokować ruch NTP, który pochodzi z portu 123:

-p udp --sport 123 -j DROP

To jest pierwsza reguła w IPTables.

Dużo szukałem i nie mogę znaleźć bardzo dużo informacji o tym, jak używać IPTables, aby złagodzić atak odbicia NTP. Niektóre z tych informacji wydają się całkowicie niepoprawne. Czy ta reguła IPTables jest poprawna? Czy jest coś, co możemy dodać lub zrobić, aby złagodzić atak odbicia / wzmocnienia NTP, poza kontaktowaniem się z naszym dostawcą sieci?

Ponadto: ponieważ ci napastnicy muszą korzystać z sieci, które

  • zezwalaj na fałszowanie adresu IP w pakietach
  • mają niepoprawiony, około 2010 kod NTP

czy istnieje jakakolwiek globalna izba rozliczeniowa, w której możemy zgłaszać te adresy IP, aby były one ustawione tak, aby przestały zezwalać na sfałszowane pakiety i łatały swoje serwery NTP?

ntp  ddos 
Jeff Atwood
źródło
10
Tak, reguła iptables jest poprawna, ale uruchomienie filtra pakietów na końcu potoku, na serwerze, nie uniemożliwi zapełniania się potoku, więcej informacji można znaleźć na stronie: serverfault.com/questions/531941/i-am- under-ddos-what-can-i-do
HBruijn

Odpowiedzi:

20

Zasadniczo masz pecha, jeśli atak DDoS zdoła wypełnić dowolną rurkę dostępną w Internecie (co jest celem każdego ataku odbicia UDP - aby wypełnić rurę). Jeśli twoje łącze nadrzędne może znieść ruch 1 Gb / s, a łączny ruch to 2 Gb / s, wówczas połowa z niego zostanie zrzucona przez router lub przełącznik, który przesyła pakiety w dół łącza. Atakującemu nie przeszkadza, że ​​połowa ruchu związanego z atakami zostanie porzucona, ale Twoi klienci tak robią: 50% utrata pakietów w połączeniu TCP spowoduje straszne, straszne rzeczy w zakresie wydajności i niezawodności tych połączeń.

Istnieją tylko dwa trzy sposoby zatrzymania wolumetrycznego ataku DDoS:

  1. Miej wystarczająco dużą rurkę, aby ruch atakujący jej nie wypełnił.
  2. Zatrzymaj pakiety ataku, zanim zejdą po rurze.
  3. Przejdź na inny adres IP, który nie podlega atakowi odbicia NTP.

Zablokowanie ich w iptables nie spowoduje przysiadu, ponieważ do tego czasu ruch atakujący już wyparł prawidłowy ruch i spowodował, że spadł na podłogę, więc atakujący wygrał. Ponieważ (prawdopodobnie) nie kontrolujesz routera ani przełącznika, który przekazuje ruch atakujący, tak, musisz skontaktować się z dostawcą sieci upstream i poprosić ich, aby zrobili coś, aby powstrzymać ruch atakowy przed dotarciem do twojej sieci link, czy to będzie

  • blokuje cały ruch w porcie ataku (nie jest to coś, co większość dostawców usług internetowych chce robić na swoich routerach dostępu klienta colo $REASONS)

  • odfiltruj źródłowe adresy IP ataku (bardziej prawdopodobne, z S / RTBH, ale nie coś, co każdy dostawca już ma)

  • w najgorszym przypadku zakotwicz docelowy adres IP

Pamiętaj, że blackholing adresu IP działa tylko wtedy, gdy masz inne adresy IP, które mogą kontynuować działanie - jeśli twój dostawca zablokuje twój jedyny adres IP, atakujący się powiódł, ponieważ nie masz połączenia z Internetem, co starali się osiągnąć na pierwszym miejscu.

womble
źródło
Czy masz jakieś pomysły, dlaczego dostawcy usług internetowych nie chcą blokować ruchu?
André Borie,
4
Jest wiele powodów. 1. Dostawcy usług internetowych otrzymują wynagrodzenie za dostarczanie ruchu, a nie blokowanie go. 2. Tylko urządzenia sieciowe wyższej klasy są w stanie przeprowadzać kontrolę szybkości linii przy dużych (100G +) natężeniach ruchu, co jest kosztowne. 3. Przejście od żądania klienta do konfiguracji linii w routerze rdzeniowym nie jest trywialne.
womble
5

Zakładam, że masz potok do swojego ISP, który kończy się na twoim routerze / firewallu. Następnie za tym routerem / zaporą masz własne maszyny. ISP nie blokuje ruchu, więc musisz sobie z tym poradzić. Chcesz zablokować ruch na routerze / zaporze, aby zatrzymać uderzanie w maszyny za nim, jednocześnie minimalizując obciążenie routera / zapory.

Twoja reguła wygląda tak, jakby upuszczała wszystko, co pochodzi z serwera NTTP na standardowy port. Pamiętaj, że jeśli faktycznie używasz ntp, może być konieczne wybijanie dziur w regułach zapory

Jeśli twoja zapora ogniowa wykorzystuje śledzenie połączeń (większość tak robi), możesz użyć tabeli „surowej”, aby upuścić pakiety, zanim dotrą one do urządzenia do śledzenia połączeń.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

Peter Green
źródło
1

Wygląda na to, że możemy zgłosić adresy IP nadużyć NTP (i, mam nadzieję, łatanie NTP) do

http://openntpproject.org/

Jeśli chodzi o sieci raportujące, które zezwalają na sfałszowane adresy IP, nie mogę znaleźć dużo :

Nasze pomiary pokazują, że fałszowanie jest nadal powszechne wśród około 25% autonomicznych systemów i bloków sieciowych, które badamy. Co ważniejsze, pojedynczy punkt wejścia dla sfałszowanego ruchu zapewnia atakującym środki do wysyłania sfałszowanego ruchu do całego Internetu. Dostawcy usług internetowych mogą stosować filtrowanie [RFC2827], aby zapewnić, że ich ruch wychodzący nie jest sfałszowany.

Być może jedyną metodą jest bezpośredni kontakt z dostawcą usług internetowych?

Jeff Atwood
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.