URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 93555
[ Назад ]

Исходное сообщение
"Волна DDoS-атак, использующих NTP-серверы для усиления трафика"

Отправлено opennews , 15-Янв-14 11:37 
Компьютерная команда экстренной готовности США (US-CERT) опубликовала (http://www.us-cert.gov/ncas/alerts/TA14-013A) предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.


Ранее подобные атаки как правило проводились (http://www.opennet.me/opennews/art.shtml?num=36525) c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа в несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы.


Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить доступ к сервису NTP для внешних сетей или использовать  специально модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...). \

URL: http://www.us-cert.gov/ncas/alerts/TA14-013A
Новость: http://www.opennet.me/opennews/art.shtml?num=38855


Содержание

Сообщения в этом обсуждении
"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Саша , 15-Янв-14 11:37 
Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо проспались админы и заметили что ДДОСят)

И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от всего мира (в отличие от косоруких бсдшников), да и версия ntpd не замшелая которая без данной уязвимости даже если и сервер времени публичный


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Анод , 15-Янв-14 11:47 
О нём сообщали ещё два года назад :)

http://bugs.ntp.org/show_bug.cgi?id=1532


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 11:58 
> О нём сообщали ещё два года назад :)
> http://bugs.ntp.org/show_bug.cgi?id=1532

И до сих пор только в экспериментальной ветке ntp исправили, а в стабильной не стали править чтобы совместимость не нарушить.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено nagual , 17-Янв-14 19:36 
> Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо
> проспались админы и заметили что ДДОСят)
> И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от

Никогда не смоневался что доля бсд серверов более 30% а не как в статистике м$ :)))


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 11:40 
freebsd оперативно, как всегда

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 11:57 
В самом свежем выпуске стабильной ветки ntp 4.2.6 проблема не исправлена. Исправления добавлены только в экспериментальной ветке 4.2.7. Поэтому кто виноват, что бага три года не исправлена остаётся под вопросом.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Саша , 15-Янв-14 12:12 
БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде, приходи, имей ))
И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено knike , 15-Янв-14 12:20 
>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

Вот здесь херню гоните.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено nagual , 17-Янв-14 19:37 
>>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
> Вот здесь херню гоните.

Он даже не линуксоид ...


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Пропатентный тролль , 15-Янв-14 12:31 
В деолтной БЗде нтпд отключен. Если админ его включает - должен думать о последствиях. Или как минимум добросовестно реагировать на такие инциденты.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено бедный буратино , 15-Янв-14 12:36 
what is "дефолтная бздя"?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено masakra , 15-Янв-14 12:55 
cat /etc/defaults/rc.conf | grep ntpd_enable
ntpd_enable="NO"                # Run ntpd Network Time Protocol (or NO).

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 14:03 
Это такой systemd с кучей левых сервисов, от которых никак не избавиться.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Гость , 16-Янв-14 16:56 
Прекрасный комментарий раскрывающий всю "глубину" твоих познаний. Домашнее задание: поставить фрю, загрузиться в неё и написать сюда список "левых сервисов, от которых никак не избавиться".

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 04:01 
* Домашнее задание: поставить фрю и установить на нее systemd
fixed

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Neus , 15-Янв-14 14:28 
> what is "дефолтная бздя"?

вот там она
ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/9.2-RELEASE/
:)


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 14:10 
> В деолтной БЗде нтпд отключен. Если админ его включает - должен думать
> о последствиях. Или как минимум добросовестно реагировать на такие инциденты.

А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Пропатентный тролль , 15-Янв-14 15:03 
Юникс позволяет пользователям стрелять себе в ноги. Он такой...

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 15:37 
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...

Вполне ожидаемая отмазка.
Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено nagual , 17-Янв-14 19:38 
>> Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Вполне ожидаемая отмазка.
> Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.

А линукс в голову и никто еще не жаловался ...


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 15:51 
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...

Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь init-скрипт команду rm -rf /*, отмазка будет ровно такой же - надо было смотреть, что запускаешь.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено nagual , 17-Янв-14 19:39 
>> Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь
> init-скрипт команду rm -rf /*, отмазка будет ровно такой же -
> надо было смотреть, что запускаешь.

Это в линуксе такое случилось ?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:30 
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...

Но в данном случае - на входе установили самострел. И таки подстрелились. Ибо усиление атаки в 200 раз админу на его серваке с дефолтной конфигой - очевидно совсем не любому админу. А сам по себе ntp в сеть вывешивать ничем таким не криминально. Если бы не такая вот странная реализация.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 15-Янв-14 18:41 
> А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
> Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.

Безопасную — это какую? block all?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено saNdro , 15-Янв-14 20:03 
restrict -6 default kod notrap nomodify nopeer noquery
restrict -4 default kod notrap nomodify nopeer noquery

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 13:04 
> И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 15:45 
У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable. Нифига себе "недавно"!

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 15-Янв-14 18:43 
> У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable.

И чем это вам на протяжении всех этих лет помогало?



"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 16:41 
> Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.

Фигово вы по-английски читаете. Там написано, что относительно недавно (с версии 4.2.7) оно отключено _в исходном коде_, а для более старых версий нужно использовать restrict.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено xex , 15-Янв-14 15:14 
какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так ли, наш великий полиглот?)

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 15:39 
> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
> ли, наш великий полиглот?)

Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее монолитности.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Гость , 16-Янв-14 16:58 
>> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
>> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
>> ли, наш великий полиглот?)
> Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее
> монолитности.

Зато ничто не мешает не запускать сервис из базовой системы, а поставить новую версию или нечто другое из портов.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:31 
> Зато ничто не мешает не запускать сервис из базовой системы,

Ну да, гениально придумано. Валяться будет, но можно не запускать.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено бедный буратино , 17-Янв-14 05:31 
>> Зато ничто не мешает не запускать сервис из базовой системы,
> Ну да, гениально придумано. Валяться будет, но можно не запускать.

и? ситуация "срочно понадобилась, но нет" гораздо проблемнее, чем "есть, но валяется без дела". или лишних 10 мб диск жмут?



"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено bab , 16-Янв-14 03:01 
Вот тут Вы батенька полную херню несете! Даже если имеется какой то там default конфиг, это файл прежде всего рекомендательного характера, а не руководство к запуску по умолчанию. Прежде чем что то запустить, нужно документацию читать и настраивать все согласно своих нужд, а не поступать по Вашему образу и подобию. Сам Unix не прощает безалаберности и безграмотности, тем и хорош что развивает МОЗГ а не деградирует его! Думать, анализировать и на основе выводов принимать решения - основное отличие человека от остальных биологических организмов в природе.  

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 19-Янв-14 16:28 
> БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде,
> приходи, имей ))
> И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

BSD BSD рознь.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 12:44 
> freebsd оперативно, как всегда

Какой тонкий сарказм. Ну да, атака лишь пару лет как под внимание ALL попала.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 14:07 
> freebsd оперативно, как всегда

Не прошло и двух лет, ага.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено бедный буратино , 15-Янв-14 11:51 
> ыполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу

кстати? а зачем? выяснить, кому ещё скучно в ночь глухую (счастливые часов не наблюдают)? типа сайты знакомств 1970 года?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Саша , 15-Янв-14 12:14 
Ну, для дебага например, в 1970 году компьютеры были большие и как-то надо смотреть логи сервиса, сам то он лог обращений вести не умеет

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Нанобот , 15-Янв-14 13:22 
> Ну, для дебага например, в 1970 году компьютеры были большие и как-то
> надо смотреть логи сервиса, сам то он лог обращений вести не
> умеет

не, 600 последних адресов - это ж 2 кила памяти, в 1970 это было б слишком дорогим удовольствием - расходовать их на такую фичу


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено анон , 15-Янв-14 16:35 
ещё непонятно, почему именно 600
600 ip хватит всем?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Perain , 15-Янв-14 12:17 
/etc/ntp.conf

restrict default ignore
restrict -6 default ignore


service ntpd restart


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Perain , 15-Янв-14 12:19 
по ipv6 тоже могут юзать dns-recursive ddos

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 12:48 
Да вообще-то и в IPV4 могут. Усиление атаки при помощи открытых DNS-резольверов это ужасный баян. Однако, там и близко нет такого фактора усиления атаки как в этом случае. Тут в лучшем случае плечо 210 - так мобильник может перефлудить сервак. Просто потому что его усилили в 210 раз.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено cvb , 15-Янв-14 15:34 
Не использует monlist авторизацию, то есть эти restrict не помогут никак.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 15:40 
> Не использует monlist авторизацию, то есть эти restrict не помогут никак.

А у меня почему-то помогает. Наверное, у меня какой-то особенный monlist.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 16:43 
> Не использует monlist авторизацию, то есть эти restrict не помогут никак.

О том, что restrict поможет, прямо и недвусмысленно написано в официальном анонсе (см. ссылку в тексте новости).


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 15-Янв-14 18:46 
> /etc/ntp.conf
> restrict default ignore
> restrict -6 default ignore

Вам станет легче, если вы будете знать, что ваш ntpd не используется для DoS-атаки?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:34 
> Вам станет легче, если вы будете знать, что ваш ntpd не используется
> для DoS-атаки?

Да, вы знаете, не очень приятно разгрeбать абузы и выколупываться из блеклистов.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 12:47 
> на запрос в 234 байт, возвращается ответ в 48 Кб

Ууу, таким макаром можно с мобилки зафлудить крутейший сервак. Коэффициент усиления атаки в какие-то 210 раз - это вам не хухры-мухры.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 13:51 
Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе купили компьютер.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:38 
> Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе
> купили компьютер.

Ты почти угадал насчет компьютера, но проблема в том что я никогда не учился в 4 классе.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 10:51 
А в каком ты сейчас, в третьем?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 06-Мрт-14 10:37 
Не учился в четвертом классе - человек 1977 года рождения.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Анонище , 15-Янв-14 13:51 
> путем отправки UDP-пакетов с подставным обратным адресом.

IPS не фильтруют SRC IP? Странно.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Анонище , 15-Янв-14 13:52 
s/IPS/ISP/

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 13:54 
>> путем отправки UDP-пакетов с подставным обратным адресом.
> IPS не фильтруют SRC IP? Странно.

Тоже компьютер только купили?  


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Анонище , 15-Янв-14 14:49 
Тоже? Ну , поздравляю тебя, чувак.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 17:45 
Да, там выше ещё один http://www.opennet.me/openforum/vsluhforumID3/93555.html#16

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Пропатентный тролль , 15-Янв-14 18:41 
Человек RPF наверняка имел ввиду, а вы гнобите..

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено anonymous , 15-Янв-14 19:32 
> Человек RPF наверняка имел ввиду, а вы гнобите..

RPF и есть по сути частный случай "фильтрация SRC IP". Наехали на человека абсолютно без повода, вопрос очень правильный был задан.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 16-Янв-14 00:13 
И чё теперь, из-за опеннетовских аналитиков нельзя VPN-бриджы строить?

  


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено www2 , 15-Янв-14 18:18 
SRC-адрес от хоста в Интернете? Ну можно, кончено, зафильтровать. Только тогда клиенты ISP'а смогут только между собой связываться.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено anonymous , 15-Янв-14 19:22 
Если не разбираетесь в вопросе, не комментируйте.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено anonymous , 15-Янв-14 19:27 
Зависит от провайдера.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Анонище , 15-Янв-14 19:35 
Интереснее, от чего зависит У провайдера. :)

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено muff , 25-Янв-14 16:26 
> Интереснее, от чего зависит У провайдера. :)

Магистралы и провайдеры предоставляющие услуги бизнес-абонентам SRC не фильтруют, в связи с тем, что у абонентов может быть несколько аплинков; клиенты со своими блоками IP-адресов, у которых клиенты тоже используют по несколько аплинков... И так до бесконечности.

Тоесть запрос может прийти к серверу на одну айпишку, а ответ пойдет через другого провайдера, но в SRC будет адрес сервиса, на который пришел запрос. Зафильтровав трафик по SRC, создадим проблемы чуть ли не четверти бизнес-абонентов. Давно уже прошли времена, когда подключали только один канал Интернета. Сейчас деятельность организаций очень зависит от доступа в сеть Интернет, соответственно у многих по несколько аплинков.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Нанобот , 15-Янв-14 13:51 
кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать во всём интернете и никто не заметит разницы

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 15-Янв-14 18:49 
> кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать
> во всём интернете и никто не заметит разницы

И оставить только 80-й порт TCP.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 13:54 
Приятно всё-таки осознавать, что развитие интернета не стоит на месте.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 13:57 
А почему это ntp сервера сливают логи о пользователях первому встречному?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 14:06 
> А почему это ntp сервера сливают логи о пользователях первому встречному?

Потому что в FreeBSD они по умолчанию были настроены именно так.
Новость, собственно, о том, что это наконец-то закрыли.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 15-Янв-14 18:50 
>> А почему это ntp сервера сливают логи о пользователях первому встречному?
> Потому что в FreeBSD они по умолчанию были настроены именно так.

При чём здесь FreeBSD? Это ошибка в ДНК у создателей ntpd.



"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:40 
> А почему это ntp сервера сливают логи о пользователях первому встречному?

Ну как, безопасность и все такое. Вот спрашивает eГоп у сервака - сколько время? Сервак ему - полшестого! А товарищ маойр уже в курсе - ага, такой-то спрашивал сколько времени. Так и запишем!


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 14:02 
> результатом которого является отправка списка 600 последних IP-адресов,
> с которых были обращения к NTP-серверу.

Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если конечно сервак не stratum 0  


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено shadowcaster , 15-Янв-14 14:56 
сервак не бывает stratum 0, 0 - это reference clocks.
сервак минимум stratum 1.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 15:27 
> сервак не бывает stratum 0, 0 - это reference clocks.
> сервак минимум stratum 1.

Я и говорю, - спутниковая хрень подключенная к /dev/ttyS0


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:42 
> спутниковая хрень подключенная к /dev/ttyS0

Наступил 2014 год. Павлин открыл для себя GPS :).


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 16:44 
> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
> конечно сервак не stratum 0

Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в протокол добавили еще один бит?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 17:03 
>> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
>> конечно сервак не stratum 0
> Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
> протокол добавили еще один бит?

Курить RFC два раза в день

Stratum 0
These are high-precision timekeeping devices such as atomic (cesium, rubidium) clocks,
GPS clocks or other radio clocks. They generate a very accurate pulse per second signal
that triggers an interrupt and timestamp on a connected computer. Stratum 0 devices are
also known as reference clocks.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено www2 , 15-Янв-14 18:24 
>> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
>> конечно сервак не stratum 0
> Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
> протокол добавили еще один бит?

Ну вроде стратум 0 бывает только у источника точного времени, а сервер NTP, который от этого источника синхронизируется, уже должен иметь стратум 1. Так что NTP-серверов со стратум 0 вроде как не бывает.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено pavlinux , 15-Янв-14 16:02 
> а тем временем в ядре linux продолжают закрывать remote root...

Предъява без эксплойта - высер!


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 17:03 
Интересно, это связано с тем, что в моей убунточке вчера время спешило на 20 минут?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено бедный буратино , 15-Янв-14 17:37 
Конечно, связано. Это из-за тебя, безалаберного, весь мировой интернет поломался. А ты как думал?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 17:46 
Не, я имею ввиду не они из-за меня, а я из-за них.

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 15-Янв-14 18:58 
Да все вы там друг-друга!

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:46 
> на 20 минут?

А ты вообще ntp используешь, для начала?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 15-Янв-14 18:33 
> Обновление с устранением уязвимости (CVE-2013-5211) уже выпущено

А в чём уязвимость то, если такое поведение by design? Скорее это уязвимость в голове designer-а...


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Mt , 16-Янв-14 01:15 
2014 год, провайдеры все еще не способны отфильтровать подставные src в ip трафике от своих клиентов. Может с такими "ISP" связность разрывать?

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено t28 , 16-Янв-14 02:47 
> 2014 год, провайдеры все еще не способны отфильтровать подставные src в ip
> трафике от своих клиентов. Может с такими "ISP" связность разрывать?

Вам уже писали, что спуфинг — вполне нормальная технология, использующася много где для вполне обычных вещей вроде load balancing-а.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 16-Янв-14 05:26 
Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить

"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 16-Янв-14 12:22 
> Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить

Ты знаешь, за всё время работы ни от ABOVE.NET-а, ни от Cogent-а, ни от Verizon-а, ни от других провайдеров вопросов по поводу исходящего от нас спуфинга ни разу не поступало. Ещё раз повторю — нормальные провайдеры такой фигнёй как фильтрация спуфинга не страдают. Допускаю, что на просторах СНГ какая-то шибко вумная мелочь пузатая фильтрует.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 16-Янв-14 15:22 
>вопросов по поводу исходящего от нас спуфинга ни разу не поступало

А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних затрат? Или лучший способ это колокейшин у провайдера?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Demo , 16-Янв-14 16:26 
> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
> затрат? Или лучший способ это колокейшин у провайдера?

Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений. Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее взять у ДЦ в аренду, чем перевозить своё.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено john , 17-Янв-14 02:19 
>> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
>> затрат? Или лучший способ это колокейшин у провайдера?
> Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре
> Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается
> нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений.
> Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее
> взять у ДЦ в аренду, чем перевозить своё.

Какой то не понятный алгоритм, если честно :)


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Аноним , 17-Янв-14 01:43 
> Может с такими "ISP" связность разрывать?

Да, отключите все сетевые провода во внешний мир.


"Волна DDoS-атак, использующих NTP-серверы для усиления трафика"
Отправлено Аноним , 19-Янв-14 16:27 
>[оверквотинг удален]
> с которых были обращения к NTP-серверу. В результате размер ответа в
> несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём
> трафика, генерируемого в сторону системы жертвы.
> Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве
> временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить
> доступ к сервису NTP для внешних сетей или использовать  специально
> модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно
> пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c).
> Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...).
> \

ntpd как бы не единственный на свете. Но пользователи, скажем, OpenNTPD могут спать спокойно. Наверное, стоило бы упомянуть, что затронуты именно сервера с референсным ntpd?


"Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."
Отправлено Владимир , 15-Фев-14 00:43 
Настроить линух с его GUI проще, наверное, чем FreeBSD, - подумает туева хуча дилетантов-линуксоидов - и выберет линукс вместо фряхи. Каждый линукосоид будет биться за то, что именно его сборка самая лучшая в мире, хотя там ногу сломаешь. Нет никакой стройности и преемственности. Во фряхе можно очень быстро разобраться в любой версии, ибо имеет место стройность и преемственность. Поэтому "БСДуны" сосредоточены, как правило, лишь на решении конкретной задачи, а не на втаптывании в грязь осей, отличных от БСД (линуксоиды этим напоминают порой фанатов айфона, плюющих в сторону всех девайсов андроидом), и не на том, чтобы разобраться в новой ОСи. Каждый работает на том, что ему ближе и понятнее, но лично мне фряха понятнее и роднее уже много лет.