13 января Компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение о новом способе DDoS-атак. Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. Таким образом, небольшим запросом от зараженного компьютера к жертве отправляется большой поток UDP. В этом и заключается сущность амплификации.
Незащищенный NTP-сервер становится невольным промежуточным звеном атаки.
Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).
Проверить свой сервер на уязвимость можно выполнив команду
1) Обновить ntpd до версии 4.2.7p26. В FreeBSD обновите порты и установите ntpd из net/ntp-devel.
Без обновления можно:
2) Отключить monlist в ntp.conf, добавив строчку
3) Или отключить любые запросы статуса сервера в restrict default
Возможно, вы вообще не знали, что ваш NTP-сервер виден наружу (-:. Тогда отключите доступ к нему полностью.
Я столкнулся с этой проблемой еще в ноябре, когда NTP-трафик на моем публичном NTP stratum1.net стал 30Гб в час. Заметил я это не сразу, т.к. даже на процессоре Atom загрузка была менее 5%. Тогда я написал bash-скрипт, который смотрел статистику трафика граничного брандмауэра за последние полчаса (через netflow) и автоматически добавлял правило deny для слишком активных клиентов. И вот через два месяца стало понятно, что это было.
support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
www.kb.cert.org/vuls/id/348126
www.opennet.ru/opennews/art.shtml?num=38855
P.S. В недавнем топике был описан частный случай атаки vmware esxi.
Незащищенный NTP-сервер становится невольным промежуточным звеном атаки.
Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).
Проверить свой сервер на уязвимость можно выполнив команду
Если команда выдает список клиентов (а не «timed out, nothing received»), значит система уязвима.ntpdc -c monlist адрес_сервера
Устранение
Как минимум 3 способа:1) Обновить ntpd до версии 4.2.7p26. В FreeBSD обновите порты и установите ntpd из net/ntp-devel.
Без обновления можно:
2) Отключить monlist в ntp.conf, добавив строчку
disable monitor
3) Или отключить любые запросы статуса сервера в restrict default
restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery
Возможно, вы вообще не знали, что ваш NTP-сервер виден наружу (-:. Тогда отключите доступ к нему полностью.
Я столкнулся с этой проблемой еще в ноябре, когда NTP-трафик на моем публичном NTP stratum1.net стал 30Гб в час. Заметил я это не сразу, т.к. даже на процессоре Atom загрузка была менее 5%. Тогда я написал bash-скрипт, который смотрел статистику трафика граничного брандмауэра за последние полчаса (через netflow) и автоматически добавлял правило deny для слишком активных клиентов. И вот через два месяца стало понятно, что это было.
Источники:
support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
www.kb.cert.org/vuls/id/348126
www.opennet.ru/opennews/art.shtml?num=38855
P.S. В недавнем топике был описан частный случай атаки vmware esxi.
