URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95511
[ Назад ]

Исходное сообщение
"DDoS через 123 порт"

Отправлено VituSkz , 23-Мрт-14 19:45 
Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил траф через darkstat и заметил что трафик идет через 123 UDP порт.
Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist выключил, но канал все равно кто-то забивает по этому же порту.

Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака 123 порта через iptables тоже не спасла.

в iptables прописано:
-A INPUT -p udp -m udp --dport 123 -j DROP

ОС Centos 6


Содержание

Сообщения в этом обсуждении
"DDoS через 123 порт"
Отправлено DeadLoco , 23-Мрт-14 20:12 
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку.

Все, что нужно - в конфиге ntpd.conf воткнуть несколько строк:

restrict -4     default ignore
restrict -6     default ignore
restrict        127.0.0.1
restrict        127.127.1.0
restrict        192.168.0.0 mask 255.255.255.0 nomodify notrap

В последней строке подставьте свою локальную сеть.

Эти настройки запрещают использование вашего НТП-сервера извне, поскольку такой сервис является основой весьма мощного ДДоСа, который штормил пару месяцев тому. По всей видимости, вы один из последних чемпионов по слоупокеру, к которому ломятся боты, все еще молотящие ДДоС...


"DDoS через 123 порт"
Отправлено VituSkz , 23-Мрт-14 20:27 
И еще по 53 порту с сотни IP адресов пакеты приходят:

Port    Service    In    Out    Total
1    tcpmux    0    1,588,500    1,588,500
53    domain    0    1,578,000    1,578,000

Это что?


"DDoS через 123 порт"
Отправлено Дядя_Федор , 23-Мрт-14 22:23 
> И еще по 53 порту с сотни IP адресов пакеты приходят:
> Это что?

Это ДНС. Учим матчасть.



"DDoS через 123 порт"
Отправлено VituSkz , 23-Мрт-14 20:30 
и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт 123 порт?
Или может не так правило прописал ?

"DDoS через 123 порт"
Отправлено Дядя_Федор , 23-Мрт-14 22:24 
> и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт
> 123 порт?
> Или может не так правило прописал ?

Пакеты все равно будут долетать до сетевого интерфейса. Обрабатываться сетевым стеком (и программой, которая слушает соответствующий порт) - не будут.



"DDoS через 123 порт"
Отправлено VituSkz , 24-Мрт-14 12:05 
дописал:


restrict -4     default ignore
restrict -6     default ignore
restrict        127.0.0.1
restrict        127.127.1.0
restrict        192.168.1.0 mask 255.255.255.0 nomodify notrap
disable monitor

и перезапустил ntpd

service ntpd restart

ддос все равно продолжается.

Что сделано не так ?


"DDoS через 123 порт"
Отправлено Дядя_Федор , 24-Мрт-14 12:30 
> ддос все равно продолжается.
> Что сделано не так ?

То, что Вы не понимаете, что такое DDoS. И, соответственно, не знаете методов борьбы с ним.



"DDoS через 123 порт"
Отправлено VituSkz , 24-Мрт-14 12:45 
>  То, что Вы не понимаете, что такое DDoS. И, соответственно, не
> знаете методов борьбы с ним.

да, я не силен в области защиты. Поэтому и зашел сюда попросить помочь с данной проблемой.


"DDoS через 123 порт"
Отправлено Дядя_Федор , 25-Мрт-14 08:41 
> да, я не силен в области защиты. Поэтому и зашел сюда попросить
> помочь с данной проблемой.

DDoS обычно просто так, от фонаря, не делаются. Мне кажется, что Вы преувеличиваете масштаб "атаки". :) Поставьте пакет iptraf (он же - iptraf-ng) и посмотрите - какой поток льется на Ваш сетевой интерфейс ежесекундно. Еще вариант - прикрутить какти (нагиос) и помониторить величину трафика. Это если задаться целью разобраться в проблеме.



"DDoS через 123 порт"
Отправлено VituSkz , 24-Мрт-14 13:56 
Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом, и уже на мой сервер шлют UDP пакеты. трафик только входящий.
Я правильно понял?
и все же, как бороться с этим?

"DDoS через 123 порт"
Отправлено McLeod095 , 24-Мрт-14 15:37 
> Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом,
> и уже на мой сервер шлют UDP пакеты. трафик только входящий.
> Я правильно понял?
> и все же, как бороться с этим?

Если даже Вы напишете сто правил в iptables которые будут запрещать прием пакетов ни никуда не денутся. Они по любому попадут на сетевой интерфейс и вы их получите. Так что если есть проблема и она реально начинает докучать то звоним провайдеру и просим заблокировать уже у них данный трафик, так он не дойдет до сетефого интерфейса точно.


"DDoS через 123 порт"
Отправлено VituSkz , 27-Мрт-14 12:09 
> Если даже Вы напишете сто правил в iptables которые будут запрещать прием
> пакетов ни никуда не денутся. Они по любому попадут на сетевой
> интерфейс и вы их получите. Так что если есть проблема и
> она реально начинает докучать то звоним провайдеру и просим заблокировать уже
> у них данный трафик, так он не дойдет до сетефого интерфейса
> точно.

Их ответ:
>>Здравствуйте, в данной ситуации может помочь смена IP адреса. Если Вас устроит данный вариант, то,  пожалуйста, свяжитесь с Вашим менеджером или с начальником ******

После объяснения, что смена IP не решение, они предложили тупо закрыть порт:
>>Пожалуйста, уточните, закрытие порта решит проблему?

Мне в принципе не так важен этот порт, но может как нибудь можно заблокировать именно данный трафик? Или ограничить размер пакетов по этому порту ?


"DDoS через 123 порт"
Отправлено VituSkz , 27-Мрт-14 13:19 
Хотя еще лучше:

>>К сожалению, у нас нет средств защиты от ддос атак. Это у нас также прописано в договоре. Единственное, что можем Вам посоветовать - это смена IP адреса.


"DDoS через 123 порт"
Отправлено pavlinux , 25-Мрт-14 01:26 
> и все же, как бороться с этим?

Cloud Computing, Distributed Clasters,...


"DDoS через 123 порт"
Отправлено Аноним , 24-Мрт-14 18:35 
Как уже писали, надо звонить прову и просить сделать фильтр на его железе. Работы одна минута. С вашей стороны надо взять приличный сканер и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только из своих сеток. Возможно сканер ещё что то интересное покажет.

"DDoS через 123 порт"
Отправлено ALex_hha , 27-Мрт-14 14:57 
> Как уже писали, надо звонить прову и просить сделать фильтр на его
> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
> из своих сеток. Возможно сканер ещё что то интересное покажет.

Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а провайдеру позвонить не догадались :D


"DDoS через 123 порт"
Отправлено McLeod095 , 27-Мрт-14 15:18 
>> Как уже писали, надо звонить прову и просить сделать фильтр на его
>> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
>> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
>> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>> из своих сеток. Возможно сканер ещё что то интересное покажет.
> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
> провайдеру позвонить не догадались :D

Ну так не надо путать
Одно дело DDOS на 80 порт или другой порт который по определению должен быть доступен всем в интернете.
А здесь понятно что DDOS  идет на 123 порт и этот порт не должен быть доступен всему интернету, да и вообще доступен интернету вообще. Если конечно человек не предоставляет сервер точного времени.


"DDoS через 123 порт"
Отправлено anonymous , 28-Мрт-14 10:04 
>[оверквотинг удален]
>>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>> провайдеру позвонить не догадались :D
> Ну так не надо путать
> Одно дело DDOS на 80 порт или другой порт который по определению
> должен быть доступен всем в интернете.
> А здесь понятно что DDOS  идет на 123 порт и этот
> порт не должен быть доступен всему интернету, да и вообще доступен
> интернету вообще. Если конечно человек не предоставляет сервер точного времени.

А если предоставляет, как защищаться?)


"DDoS через 123 порт"
Отправлено серега , 14-Дек-14 16:49 
>[оверквотинг удален]
>>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>>> провайдеру позвонить не догадались :D
>> Ну так не надо путать
>> Одно дело DDOS на 80 порт или другой порт который по определению
>> должен быть доступен всем в интернете.
>> А здесь понятно что DDOS  идет на 123 порт и этот
>> порт не должен быть доступен всему интернету, да и вообще доступен
>> интернету вообще. Если конечно человек не предоставляет сервер точного времени.
> А если предоставляет, как защищаться?)

ну ты решил проблему?если да,отпиши в скайп mws25mws


"DDoS через 123 порт"
Отправлено Virtual , 28-Мрт-14 15:00 
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил
> траф через darkstat и заметил что трафик идет через 123 UDP
> порт.
> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
> выключил, но канал все равно кто-то забивает по этому же порту.
> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
> 123 порта через iptables тоже не спасла.
> в iptables прописано:
> -A INPUT -p udp -m udp --dport 123 -j DROP
> ОС Centos 6

так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075
или я не прав?


"DDoS через 123 порт"
Отправлено Virtual , 28-Мрт-14 15:02 
>[оверквотинг удален]
>> порт.
>> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
>> выключил, но канал все равно кто-то забивает по этому же порту.
>> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
>> 123 порта через iptables тоже не спасла.
>> в iptables прописано:
>> -A INPUT -p udp -m udp --dport 123 -j DROP
>> ОС Centos 6
> так, это вот же решение есть - http://www.opennet.me/opennews/art.shtml?num=39075
> или я не прав?

извеняюсь не в тему ответил, не внимательно прочитал суть проблемы