Компьютерная команда экстренной готовности США (US-CERT) опубликовала (http://www.us-cert.gov/ncas/alerts/TA14-013A) предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.
Ранее подобные атаки как правило проводились (http://www.opennet.me/opennews/art.shtml?num=36525) c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа в несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы.
Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить доступ к сервису NTP для внешних сетей или использовать специально модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...). \URL: http://www.us-cert.gov/ncas/alerts/TA14-013A
Новость: http://www.opennet.me/opennews/art.shtml?num=38855
Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо проспались админы и заметили что ДДОСят)И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от всего мира (в отличие от косоруких бсдшников), да и версия ntpd не замшелая которая без данной уязвимости даже если и сервер времени публичный
О нём сообщали ещё два года назад :)
> О нём сообщали ещё два года назад :)
> http://bugs.ntp.org/show_bug.cgi?id=1532И до сих пор только в экспериментальной ветке ntp исправили, а в стабильной не стали править чтобы совместимость не нарушить.
> Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо
> проспались админы и заметили что ДДОСят)
> И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт отНикогда не смоневался что доля бсд серверов более 30% а не как в статистике м$ :)))
freebsd оперативно, как всегда
В самом свежем выпуске стабильной ветки ntp 4.2.6 проблема не исправлена. Исправления добавлены только в экспериментальной ветке 4.2.7. Поэтому кто виноват, что бага три года не исправлена остаётся под вопросом.
БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде, приходи, имей ))
И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мираВот здесь херню гоните.
>>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
> Вот здесь херню гоните.Он даже не линуксоид ...
В деолтной БЗде нтпд отключен. Если админ его включает - должен думать о последствиях. Или как минимум добросовестно реагировать на такие инциденты.
what is "дефолтная бздя"?
cat /etc/defaults/rc.conf | grep ntpd_enable
ntpd_enable="NO" # Run ntpd Network Time Protocol (or NO).
Это такой systemd с кучей левых сервисов, от которых никак не избавиться.
Прекрасный комментарий раскрывающий всю "глубину" твоих познаний. Домашнее задание: поставить фрю, загрузиться в неё и написать сюда список "левых сервисов, от которых никак не избавиться".
* Домашнее задание: поставить фрю и установить на нее systemd
fixed
> what is "дефолтная бздя"?вот там она
ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/9.2-RELEASE/
:)
> В деолтной БЗде нтпд отключен. Если админ его включает - должен думать
> о последствиях. Или как минимум добросовестно реагировать на такие инциденты.А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.
Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...Вполне ожидаемая отмазка.
Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.
>> Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Вполне ожидаемая отмазка.
> Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.А линукс в голову и никто еще не жаловался ...
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь init-скрипт команду rm -rf /*, отмазка будет ровно такой же - надо было смотреть, что запускаешь.
>> Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь
> init-скрипт команду rm -rf /*, отмазка будет ровно такой же -
> надо было смотреть, что запускаешь.Это в линуксе такое случилось ?
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...Но в данном случае - на входе установили самострел. И таки подстрелились. Ибо усиление атаки в 200 раз админу на его серваке с дефолтной конфигой - очевидно совсем не любому админу. А сам по себе ntp в сеть вывешивать ничем таким не криминально. Если бы не такая вот странная реализация.
> А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
> Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.Безопасную — это какую? block all?
restrict -6 default kod notrap nomodify nopeer noquery
restrict -4 default kod notrap nomodify nopeer noquery
> И "исправление" просто меняет конфиг в котором закрыт доступ для всего мираВозможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.
У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable. Нифига себе "недавно"!
> У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable.И чем это вам на протяжении всех этих лет помогало?
> Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.Фигово вы по-английски читаете. Там написано, что относительно недавно (с версии 4.2.7) оно отключено _в исходном коде_, а для более старых версий нужно использовать restrict.
какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так ли, наш великий полиглот?)
> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
> ли, наш великий полиглот?)Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее монолитности.
>> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
>> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
>> ли, наш великий полиглот?)
> Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее
> монолитности.Зато ничто не мешает не запускать сервис из базовой системы, а поставить новую версию или нечто другое из портов.
> Зато ничто не мешает не запускать сервис из базовой системы,Ну да, гениально придумано. Валяться будет, но можно не запускать.
>> Зато ничто не мешает не запускать сервис из базовой системы,
> Ну да, гениально придумано. Валяться будет, но можно не запускать.и? ситуация "срочно понадобилась, но нет" гораздо проблемнее, чем "есть, но валяется без дела". или лишних 10 мб диск жмут?
Вот тут Вы батенька полную херню несете! Даже если имеется какой то там default конфиг, это файл прежде всего рекомендательного характера, а не руководство к запуску по умолчанию. Прежде чем что то запустить, нужно документацию читать и настраивать все согласно своих нужд, а не поступать по Вашему образу и подобию. Сам Unix не прощает безалаберности и безграмотности, тем и хорош что развивает МОЗГ а не деградирует его! Думать, анализировать и на основе выводов принимать решения - основное отличие человека от остальных биологических организмов в природе.
> БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде,
> приходи, имей ))
> И "исправление" просто меняет конфиг в котором закрыт доступ для всего мираBSD BSD рознь.
> freebsd оперативно, как всегдаКакой тонкий сарказм. Ну да, атака лишь пару лет как под внимание ALL попала.
> freebsd оперативно, как всегдаНе прошло и двух лет, ага.
> ыполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверукстати? а зачем? выяснить, кому ещё скучно в ночь глухую (счастливые часов не наблюдают)? типа сайты знакомств 1970 года?
Ну, для дебага например, в 1970 году компьютеры были большие и как-то надо смотреть логи сервиса, сам то он лог обращений вести не умеет
> Ну, для дебага например, в 1970 году компьютеры были большие и как-то
> надо смотреть логи сервиса, сам то он лог обращений вести не
> умеетне, 600 последних адресов - это ж 2 кила памяти, в 1970 это было б слишком дорогим удовольствием - расходовать их на такую фичу
ещё непонятно, почему именно 600
600 ip хватит всем?
/etc/ntp.confrestrict default ignore
restrict -6 default ignore
service ntpd restart
по ipv6 тоже могут юзать dns-recursive ddos
Да вообще-то и в IPV4 могут. Усиление атаки при помощи открытых DNS-резольверов это ужасный баян. Однако, там и близко нет такого фактора усиления атаки как в этом случае. Тут в лучшем случае плечо 210 - так мобильник может перефлудить сервак. Просто потому что его усилили в 210 раз.
Не использует monlist авторизацию, то есть эти restrict не помогут никак.
> Не использует monlist авторизацию, то есть эти restrict не помогут никак.А у меня почему-то помогает. Наверное, у меня какой-то особенный monlist.
> Не использует monlist авторизацию, то есть эти restrict не помогут никак.О том, что restrict поможет, прямо и недвусмысленно написано в официальном анонсе (см. ссылку в тексте новости).
> /etc/ntp.conf
> restrict default ignore
> restrict -6 default ignoreВам станет легче, если вы будете знать, что ваш ntpd не используется для DoS-атаки?
> Вам станет легче, если вы будете знать, что ваш ntpd не используется
> для DoS-атаки?Да, вы знаете, не очень приятно разгрeбать абузы и выколупываться из блеклистов.
> на запрос в 234 байт, возвращается ответ в 48 КбУуу, таким макаром можно с мобилки зафлудить крутейший сервак. Коэффициент усиления атаки в какие-то 210 раз - это вам не хухры-мухры.
Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе купили компьютер.
> Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе
> купили компьютер.Ты почти угадал насчет компьютера, но проблема в том что я никогда не учился в 4 классе.
А в каком ты сейчас, в третьем?
Не учился в четвертом классе - человек 1977 года рождения.
> путем отправки UDP-пакетов с подставным обратным адресом.IPS не фильтруют SRC IP? Странно.
s/IPS/ISP/
>> путем отправки UDP-пакетов с подставным обратным адресом.
> IPS не фильтруют SRC IP? Странно.Тоже компьютер только купили?
Тоже? Ну , поздравляю тебя, чувак.
Да, там выше ещё один http://www.opennet.me/openforum/vsluhforumID3/93555.html#16
Человек RPF наверняка имел ввиду, а вы гнобите..
> Человек RPF наверняка имел ввиду, а вы гнобите..RPF и есть по сути частный случай "фильтрация SRC IP". Наехали на человека абсолютно без повода, вопрос очень правильный был задан.
И чё теперь, из-за опеннетовских аналитиков нельзя VPN-бриджы строить?
SRC-адрес от хоста в Интернете? Ну можно, кончено, зафильтровать. Только тогда клиенты ISP'а смогут только между собой связываться.
Если не разбираетесь в вопросе, не комментируйте.
Зависит от провайдера.
Интереснее, от чего зависит У провайдера. :)
> Интереснее, от чего зависит У провайдера. :)Магистралы и провайдеры предоставляющие услуги бизнес-абонентам SRC не фильтруют, в связи с тем, что у абонентов может быть несколько аплинков; клиенты со своими блоками IP-адресов, у которых клиенты тоже используют по несколько аплинков... И так до бесконечности.
Тоесть запрос может прийти к серверу на одну айпишку, а ответ пойдет через другого провайдера, но в SRC будет адрес сервиса, на который пришел запрос. Зафильтровав трафик по SRC, создадим проблемы чуть ли не четверти бизнес-абонентов. Давно уже прошли времена, когда подключали только один канал Интернета. Сейчас деятельность организаций очень зависит от доступа в сеть Интернет, соответственно у многих по несколько аплинков.
кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать во всём интернете и никто не заметит разницы
> кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать
> во всём интернете и никто не заметит разницыИ оставить только 80-й порт TCP.
Приятно всё-таки осознавать, что развитие интернета не стоит на месте.
А почему это ntp сервера сливают логи о пользователях первому встречному?
> А почему это ntp сервера сливают логи о пользователях первому встречному?Потому что в FreeBSD они по умолчанию были настроены именно так.
Новость, собственно, о том, что это наконец-то закрыли.
>> А почему это ntp сервера сливают логи о пользователях первому встречному?
> Потому что в FreeBSD они по умолчанию были настроены именно так.При чём здесь FreeBSD? Это ошибка в ДНК у создателей ntpd.
> А почему это ntp сервера сливают логи о пользователях первому встречному?Ну как, безопасность и все такое. Вот спрашивает eГоп у сервака - сколько время? Сервак ему - полшестого! А товарищ маойр уже в курсе - ага, такой-то спрашивал сколько времени. Так и запишем!
> результатом которого является отправка списка 600 последних IP-адресов,
> с которых были обращения к NTP-серверу.Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если конечно сервак не stratum 0
сервак не бывает stratum 0, 0 - это reference clocks.
сервак минимум stratum 1.
> сервак не бывает stratum 0, 0 - это reference clocks.
> сервак минимум stratum 1.Я и говорю, - спутниковая хрень подключенная к /dev/ttyS0
> спутниковая хрень подключенная к /dev/ttyS0Наступил 2014 год. Павлин открыл для себя GPS :).
> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
> конечно сервак не stratum 0Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в протокол добавили еще один бит?
>> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
>> конечно сервак не stratum 0
> Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
> протокол добавили еще один бит?Курить RFC два раза в день
Stratum 0
These are high-precision timekeeping devices such as atomic (cesium, rubidium) clocks,
GPS clocks or other radio clocks. They generate a very accurate pulse per second signal
that triggers an interrupt and timestamp on a connected computer. Stratum 0 devices are
also known as reference clocks.
>> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
>> конечно сервак не stratum 0
> Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
> протокол добавили еще один бит?Ну вроде стратум 0 бывает только у источника точного времени, а сервер NTP, который от этого источника синхронизируется, уже должен иметь стратум 1. Так что NTP-серверов со стратум 0 вроде как не бывает.
> а тем временем в ядре linux продолжают закрывать remote root...Предъява без эксплойта - высер!
Интересно, это связано с тем, что в моей убунточке вчера время спешило на 20 минут?
Конечно, связано. Это из-за тебя, безалаберного, весь мировой интернет поломался. А ты как думал?
Не, я имею ввиду не они из-за меня, а я из-за них.
Да все вы там друг-друга!
> на 20 минут?А ты вообще ntp используешь, для начала?
> Обновление с устранением уязвимости (CVE-2013-5211) уже выпущеноА в чём уязвимость то, если такое поведение by design? Скорее это уязвимость в голове designer-а...
2014 год, провайдеры все еще не способны отфильтровать подставные src в ip трафике от своих клиентов. Может с такими "ISP" связность разрывать?
> 2014 год, провайдеры все еще не способны отфильтровать подставные src в ip
> трафике от своих клиентов. Может с такими "ISP" связность разрывать?Вам уже писали, что спуфинг — вполне нормальная технология, использующася много где для вполне обычных вещей вроде load balancing-а.
Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить
> Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфитьТы знаешь, за всё время работы ни от ABOVE.NET-а, ни от Cogent-а, ни от Verizon-а, ни от других провайдеров вопросов по поводу исходящего от нас спуфинга ни разу не поступало. Ещё раз повторю — нормальные провайдеры такой фигнёй как фильтрация спуфинга не страдают. Допускаю, что на просторах СНГ какая-то шибко вумная мелочь пузатая фильтрует.
>вопросов по поводу исходящего от нас спуфинга ни разу не поступалоА не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних затрат? Или лучший способ это колокейшин у провайдера?
> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
> затрат? Или лучший способ это колокейшин у провайдера?Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений. Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее взять у ДЦ в аренду, чем перевозить своё.
>> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
>> затрат? Или лучший способ это колокейшин у провайдера?
> Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре
> Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается
> нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений.
> Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее
> взять у ДЦ в аренду, чем перевозить своё.Какой то не понятный алгоритм, если честно :)
> Может с такими "ISP" связность разрывать?Да, отключите все сетевые провода во внешний мир.
>[оверквотинг удален]
> с которых были обращения к NTP-серверу. В результате размер ответа в
> несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём
> трафика, генерируемого в сторону системы жертвы.
> Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве
> временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить
> доступ к сервису NTP для внешних сетей или использовать специально
> модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно
> пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c).
> Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...).
> \ntpd как бы не единственный на свете. Но пользователи, скажем, OpenNTPD могут спать спокойно. Наверное, стоило бы упомянуть, что затронуты именно сервера с референсным ntpd?
Настроить линух с его GUI проще, наверное, чем FreeBSD, - подумает туева хуча дилетантов-линуксоидов - и выберет линукс вместо фряхи. Каждый линукосоид будет биться за то, что именно его сборка самая лучшая в мире, хотя там ногу сломаешь. Нет никакой стройности и преемственности. Во фряхе можно очень быстро разобраться в любой версии, ибо имеет место стройность и преемственность. Поэтому "БСДуны" сосредоточены, как правило, лишь на решении конкретной задачи, а не на втаптывании в грязь осей, отличных от БСД (линуксоиды этим напоминают порой фанатов айфона, плюющих в сторону всех девайсов андроидом), и не на том, чтобы разобраться в новой ОСи. Каждый работает на том, что ему ближе и понятнее, но лично мне фряха понятнее и роднее уже много лет.