IPTables में NTP प्रतिबिंब प्रतिबिंबों से निपटना

16

हम अपने कोलोकेटेड सर्वर पर NTP प्रतिबिंब / प्रवर्धन हमले के साथ काम कर रहे हैं । यह प्रश्न NTP प्रतिबिंब के हमलों का जवाब देने के लिए विशिष्ट है, और सामान्य रूप से DDoS पर निर्देशित नहीं है।

यहाँ यातायात है:

राउटर नेटवर्क ट्रैफिक ग्राफ

यह हमारे राउटर पर CPU का थोड़ा सा मंथन कर रहा है:

राउटर CPU उपयोग ग्राफ

दुर्भाग्य से यह हमारे अपस्ट्रीम प्रदाता को यातायात को ब्लैकहोल करने के लिए पर्याप्त बड़ा नहीं है, जिसका अर्थ है कि यह हमारे पास से गुजर रहा है।

हमने NTP ट्रैफ़िक को ब्लॉक करने के लिए निम्नलिखित नियम का उपयोग किया है, जो 123 पोर्ट पर उत्पन्न होता है:

-p udp --sport 123 -j DROP

यह IPTables में पहला नियम है।

मैंने बहुत खोज की, और मैं एक NTP प्रतिबिंब हमले को कम करने के लिए IPTables का उपयोग करने के बारे में बहुत अधिक जानकारी नहीं पा सकता हूं। और कुछ जानकारी बाहर फ्लैट गलत लगता है। क्या यह IPTables नियम सही है? क्या हमारे अपस्ट्रीम नेटवर्क प्रदाता से संपर्क करने के अलावा किसी NTP प्रतिबिंब / प्रवर्धन हमले को कम करने के लिए हम कुछ और जोड़ सकते हैं या कर सकते हैं?

यह भी: क्योंकि ये हमलावर नेटवर्क का उपयोग कर रहे होंगे

  • पैकेट में IP पते को खराब करने की अनुमति दें
  • अप्रकाशित है, लगभग 2010 NTP कोड

क्या कोई वैश्विक समाशोधन गृह है जिसे हम इन आईपी पतों की रिपोर्ट कर सकते हैं, ताकि वे खराब हो चुके पैकेटों को अनुमति देना बंद कर दें, और अपने NTP सर्वरों को पैच कर दें?

ntp  ddos 
जेफ एटवुड
स्रोत
10
हां, iptables नियम सही है, लेकिन आपके सर्वर पर, आपके पाइप के अंत में एक पैकेट फ़िल्टर चलाने से, पाइप को भरने से नहीं रोका जा सकेगा, अधिक पृष्ठभूमि के लिए देखें: serverfault.com/questions/531941/i-am- अंडर-
डडोस

जवाबों:

20

अनिवार्य रूप से, यदि आप डीडीओएस पर हमला करते हैं तो आपके पास जो भी पाइप है उसे इंटरनेट पर भरने का प्रबंधन करता है (जो कि किसी भी यूडीपी प्रतिबिंब हमले का उद्देश्य है - पाइप को भरना)। यदि आपका अपस्ट्रीम लिंक 1Gbps ट्रैफ़िक ले सकता है, और लिंक को नीचे जाने के लिए कुल ट्रैफ़िक 2Gbps है (कहे), तो इसका आधा भाग राउटर या स्विच द्वारा गिरा दिया जाएगा जो पैकेट को लिंक के नीचे रख रहा है। हमलावर को इस बात की परवाह नहीं है कि उनके हमले का आधा ट्रैफ़िक गिरा दिया जाता है, लेकिन आपके ग्राहक ऐसा करते हैं: टीसीपी कनेक्शन में 50% पैकेट का नुकसान उन कनेक्शनों के प्रदर्शन और विश्वसनीयता के लिए भयानक, भयानक काम करने वाला है।

वॉल्यूमेट्रिक DDoS हमले को रोकने के केवल दो तीन तरीके हैं:

  1. एक बड़ा पर्याप्त पाइप रखें जो हमले के यातायात को नहीं भरता है।
  2. पाइप नीचे जाने से पहले हमले के पैकेट को बंद करें।
  3. एक अलग IP पते पर जाएं जो NTP प्रतिबिंब हमले के तहत नहीं है।

उन्हें iptables में ब्लॉक करना स्क्वाट नहीं करेगा, क्योंकि तब तक हमले के ट्रैफ़िक ने कानूनी ट्रैफ़िक को पहले ही निचोड़ लिया है और इससे फर्श पर गिरा होगा, इसलिए हमलावर जीत गया है। चूँकि आप (संभवतया) अपस्ट्रीम राउटर या स्विच को नियंत्रित नहीं करते हैं जो हमले के ट्रैफ़िक को आगे बढ़ा रहा है, हाँ, आपको अपने अपस्ट्रीम नेटवर्क प्रदाता के साथ संपर्क में रहना होगा और हमले के ट्रैफ़िक को अपने नेटवर्क तक पहुँचने से रोकने के लिए उन्हें कुछ करना होगा। लिंक, चाहे वह हो

  • हमले के बंदरगाह पर सभी ट्रैफ़िक को ब्लॉक करें (कुछ ऐसा नहीं है जो अधिकांश आईएसपी अपने कोलो ग्राहक एक्सेस रूटर्स पर करने के लिए तैयार हैं $REASONS)

  • हमले के स्रोत आईपी पते को फ़िल्टर करें (एस / आरटीबीएच के साथ अधिक प्रशंसनीय, लेकिन ऐसा कुछ नहीं जो हर प्रदाता के पास पहले से उपलब्ध हो)

  • सबसे खराब स्थिति, गंतव्य का IP पता ब्लैकहोल

ध्यान दें कि IP ब्लैकहोलिंग केवल तभी काम करता है जब आपको अन्य IP पते मिले हैं जो ऑपरेटिंग जारी रख सकते हैं - यदि आपका प्रदाता आपके एकमात्र IP पते को ब्लैकहोल करता है, तो हमलावर सफल हो गया है क्योंकि आप इंटरनेट से दूर हैं, जो कि वे हासिल करने की कोशिश कर रहे थे। पहली जगह में।

वमन
स्रोत
क्या आपके पास कोई विचार है कि ISPs ट्रैफ़िक को ब्लॉक क्यों नहीं करना चाहेंगे?
एंड्रे बोरी
4
इसके बहुत से कारण हैं। 1. ISP को ट्रैफिक देने के लिए भुगतान मिलता है, इसे ब्लॉक करने के लिए नहीं। 2. केवल उच्च अंत नेटवर्किंग उपकरण बड़े (100G +) ट्रैफिक वॉल्यूम पर लाइन-दर निरीक्षण करने में सक्षम है, जो महंगा है। 3. कोर राउटर में लाइनों को कॉन्फ़िगर करने के लिए ग्राहक के अनुरोध से जाना तुच्छ नहीं है।
Womble
5

मुझे लगता है कि आपके पास अपने आईएसपी के लिए एक पाइप है जो आपके स्वयं के राउटर / फ़ायरवॉल पर समाप्त होता है। फिर उस राउटर / फ़ायरवॉल के पीछे आपकी अपनी मशीनें हैं। आईएसपी यातायात को अवरुद्ध नहीं करेगा, इसलिए आपको खुद से निपटना होगा। आप राउटर / फ़ायरवॉल पर लोड को कम करने के दौरान राउटर / फ़ायरवॉल पर ट्रैफ़िक को रोकना चाहते हैं ताकि इसके पीछे लगी मशीनों को रोक सकें।

मानक पोर्ट पर ntp सर्वर से आई किसी भी चीज़ को छोड़ने के लिए आपका नियम सही लगता है। याद रखें कि यदि आप वास्तव में ntp का उपयोग करते हैं, तो आपको अपने फ़ायरवॉल नियमों में छिद्रों की आवश्यकता हो सकती है

यदि आपका फ़ायरवॉल कनेक्शन ट्रैकिंग (सबसे अधिक) का उपयोग करता है, तो आप कनेक्शन ट्रैकिंग मशीन पर पहुंचने से पहले पैकेट को छोड़ने के लिए "कच्चे" तालिका का उपयोग करना चाह सकते हैं।

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

पीटर ग्रीन
स्रोत
1

ऐसा लगता है कि हम NTP के दुरुपयोग (और उम्मीद है, NTP पैचिंग) के लिए IP रिपोर्ट कर सकते हैं

http://openntpproject.org/

रिपोर्टिंग नेटवर्क के लिए जो आईपी को ख़राब करने की अनुमति देता है, मुझे बहुत कुछ नहीं मिल सकता है :

हमारे माप बताते हैं कि स्पॉन्फिंग अभी भी लगभग 25% स्वायत्त प्रणालियों और नेटब्लॉक के बीच प्रचलित है जो हम सर्वेक्षण करते हैं। इससे भी महत्वपूर्ण बात यह है कि स्पूफ ट्रैफिक के लिए सिंगल एंट्री पॉइंट हमलावरों को पूरे इंटरनेट पर स्पूफ ट्रैफिक भेजने का साधन उपलब्ध कराता है। ISPs फ़िल्टरिंग को नियोजित कर सकते हैं [RFC2827] यह सुनिश्चित करने के लिए कि उनका आउटबाउंड ट्रैफ़िक खराब न हो।

शायद एकमात्र तरीका आईएसपी से सीधे संपर्क करना है?

जेफ एटवुड
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.