Pull to refresh
  • by relevance
  • by date
  • by rating

vmware esxi 4.1 и атаки с помощью ntp

Information Security *
Здравствуйте,
если кратко — получили письмо счастья от Hetzner, ип адрес такой-то участвует в атаке,
удивило что адрес принадлежал хосту vmware esxi 4.1

В письме явно было указано что виновник торжества ntp
Читать дальше →
Total votes 37: ↑32 and ↓5 +27
Views 13K
Comments 11

Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

Information Security *
13 января Компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение о новом способе DDoS-атак. Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. Таким образом, небольшим запросом от зараженного компьютера к жертве отправляется большой поток UDP. В этом и заключается сущность амплификации.

Незащищенный NTP-сервер становится невольным промежуточным звеном атаки.
Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).

Проверить свой сервер на уязвимость можно выполнив команду
ntpdc -c monlist адрес_сервера
Если команда выдает список клиентов (а не «timed out, nothing received»), значит система уязвима.
Как бороться
Total votes 37: ↑36 and ↓1 +35
Views 55K
Comments 40

DDoS, в поисках силы

Information Security *
Sandbox
Думаю, многие слышали о DNS amplification и NTP amplification атаках. Много было написано про эти два частных случая UDP-based Amplification атак. Какие ещё протоколы могут быть использованя для усиления? В этом контексте в статье предлагаю рассмотреть протокол tftp.

Давайте вернемся немного назад и вспомним, что представляет собой UDP-based Amplification атаки. Вся реализация сводится к двум пунктам:

  • 1) Отправка на уязвимый сервис специального UDP пакета с поддельным адресом отправителя (адресом жертвы
  • 2) Ответ сервиса на адрес жертвы пакетом в разы превышающим размер первоначального.

Таким образом, получается, что каждый отправленный нами бит к жертве приходит «усиленным» на коэффициент. Вот список протоколов и их коэффициентов усиления по версии us-cert.gov:



Это далеко не полный список, существуют и другие «интересные» протоколы, например, tftp. Ему и будет далее посвящена моя статья.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views 20K
Comments 9