forum.lissyara.su

Мы — долго запрягаем, быстро ездим, и сильно тормозим.
https://forum.lissyara.su/

ntp ddos

https://forum.lissyara.su/viewtopic.php?f=53&t=42167

Страница 1 из 1

ntp ddos

Добавлено: 2014-09-16 13:36:15
rubylnik
Добрый день.
При просмотре трафика tcpdump был выявлен аномальный трафик исходящий с моего сервера, что в последствии запивал весь канал. Проанализировав трафик было выявлено что это уязвимость ntpd старой версии. По этим причинам был остановлен сервис ntpd и в конфиг добавлены следующие строки

Код: Выделить всё

restrict default kod limited nomodify notrap nopeer noquery
restrict -6 default kod limited nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
disable monitor
Это частично снизило трафик.
ntpd-остановлен.
После были добавлены правила закрывающие порты(кроме необходимых почты) на коммутаторе.
Проблема осталась.

небольшая выгрузка tcpdump

Код: Выделить всё

14:30:51.207574 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.208980 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.209079 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.210701 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.211340 IP customer.vivo-trade.co.uk.22125 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.212150 IP customer.vivo-trade.co.uk.25741 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.213330 IP v-64-94-100-239.unman-vds.internap-la.nfoservers.com.5121 > X.X.X.X.ntp: NTPv2, Reserved, length 8
14:30:51.214374 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.214654 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.216445 IP customer.vivo-trade.co.uk.37188 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.216535 IP customer.vivo-trade.co.uk.22579 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.218247 IP customer.vivo-trade.co.uk.10316 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.219387 IP customer.vivo-trade.co.uk.58705 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.221150 IP 203.182.198.203.static.netvigator.com.41235 > X.X.X.X.smtp: Flags [P.], ack 212, win 3216, options [nop,nop,TS val 366694034 ecr 3308651991], length 46
14:30:51.222550 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.223916 IP customer.vivo-trade.co.uk.elan > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.224055 IP X.X.X.X.smtp > 203.182.198.203.static.netvigator.com.41235: Flags [P.], ack 90, win 8208, options [nop,nop,TS val 3308652025 ecr 366694034], length 14
14:30:51.224267 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.224349 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.224809 IP customer.vivo-trade.co.uk.54345 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:50.980042 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:50.980044 IP customer.vivo-trade.co.uk.http > 172.30.0.14.ntp: NTPv2, Reserved, length 12
14:30:50.980046 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:50.980048 IP customer.vivo-trade.co.uk.http > 172.30.0.14.ntp: NTPv2, Reserved, length 12
14:30:50.980069 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:50.980422 IP customer.vivo-trade.co.uk.6335 > 172.30.0.14.ntp: NTPv2, Reserved, length 12
14:30:50.980424 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:51.016403 IP v-64-94-100-239.unman-vds.internap-la.nfoservers.com.5121 > 172.30.0.14.ntp: NTPv2, Reserved, length 8
14:30:51.017202 IP host68-192-static.52-88-b.business.telecomitalia.it.44600 > 172.30.0.14.smtp: Flags [.], ack 49, win 64493, length 0
14:30:51.017229 IP host68-192-static.52-88-b.business.telecomitalia.it.44679 > 172.30.0.14.smtp: Flags [.], ack 49, win 64580, length 0
где x.x.x.x ip моего сервера

Нужна ваша помощь. Куда копать, как посмотреть кто посылает этот трафик.

Re: ntp ddos

Добавлено: 2014-09-16 14:21:50
ev
https://www.freebsd.org/security/adviso ... 2.ntpd.asc

Код: Выделить всё

FreeBSD-SA-14:02.ntpd                                       Security Advisory
                                                          The FreeBSD Project

Topic:          ntpd distributed reflection Denial of Service vulnerability

Category:       contrib
Module:         ntpd
Announced:      2014-01-14
Affects:        All supported versions of FreeBSD.
Corrected:      2014-01-14 19:04:33 UTC (stable/10, 10.0-PRERELEASE)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RELEASE)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC5-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC4-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC3-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC2-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC1-p1)
                2014-01-14 19:20:41 UTC (stable/9, 9.2-STABLE)
                2014-01-14 19:42:28 UTC (releng/9.2, 9.2-RELEASE-p3)
                2014-01-14 19:42:28 UTC (releng/9.1, 9.1-RELEASE-p10)
                2014-01-14 19:20:41 UTC (stable/8, 8.4-STABLE)
                2014-01-14 19:42:28 UTC (releng/8.4, 8.4-RELEASE-p7)
                2014-01-14 19:42:28 UTC (releng/8.3, 8.3-RELEASE-p14)
CVE Name:       CVE-2013-5211

Re: ntp ddos

Добавлено: 2014-09-16 14:58:23
guest
Кто посылает у Вас видно из tcpdump, ну или поставьте trafshow и смотрите.

Трафик сразу не прекратиться, даже если Вы закроете порты, долбеж ИЗВНЕ будет продолжаться некоторое время,
ибо это автоматы, часто брошенные и входящие пакеты будут идти, ну и соответственно трафик.
Чтобы избавиться:

1) Можете снимать ip и находить через whois чья сеть и отписывать письма с просьбой принять меры.
2) Можете отписать провайдеру чтобы они у себя прикрыли на время

Re: ntp ddos

Добавлено: 2014-09-17 8:10:56
rubylnik
Трафик сразу не прекратиться, даже если Вы закроете порты, долбеж ИЗВНЕ будет продолжаться некоторое время,
Дело в том что мой сервер и посылает пакеты.
Сделано , кроме установки нового ntpd, и обновления системы, но ntpd выключен.

Re: ntp ddos

Добавлено: 2014-09-17 10:04:26
guest
rubylnik писал(а):
Трафик сразу не прекратиться, даже если Вы закроете порты, долбеж ИЗВНЕ будет продолжаться некоторое время,
Дело в том что мой сервер и посылает пакеты.
ну значит Вас взломали.
Установите сетевой монитор и смотрите исходящий и входящий трафик, поймете - Вы его генерите или
это входящий, если Вы - ищите ЧТО его генерит.

Re: ntp ddos

Добавлено: 2014-09-17 11:46:34
rubylnik
guest писал(а): ну значит Вас взломали.
Установите сетевой монитор и смотрите исходящий и входящий трафик, поймете - Вы его генерите или
это входящий, если Вы - ищите ЧТО его генерит.
Да, именно ЧТО(какая программа, процесс, др..) его генерит.

Re: ntp ddos

Добавлено: 2014-09-17 20:33:18
Alex Keda
вам же написали
Установите сетевой монитор и смотрите исходящий и входящий трафик, поймете - Вы его генерите или
это входящий, если Вы - ищите ЧТО его генерит.
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/