The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Волна DDoS-атак, использующих NTP-серверы для усиления трафика"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Волна DDoS-атак, использующих NTP-серверы для усиления трафика"  +/
Сообщение от opennews (??) on 15-Янв-14, 11:37 
Компьютерная команда экстренной готовности США (US-CERT) опубликовала (http://www.us-cert.gov/ncas/alerts/TA14-013A) предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.


Ранее подобные атаки как правило проводились (http://www.opennet.ru/opennews/art.shtml?num=36525) c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа в несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы.


Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить доступ к сервису NTP для внешних сетей или использовать  специально модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...). \

URL: http://www.us-cert.gov/ncas/alerts/TA14-013A
Новость: http://www.opennet.ru/opennews/art.shtml?num=38855

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Саша (??) on 15-Янв-14, 11:37 
Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо проспались админы и заметили что ДДОСят)

И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от всего мира (в отличие от косоруких бсдшников), да и версия ntpd не замшелая которая без данной уязвимости даже если и сервер времени публичный

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +3 +/
Сообщение от Анод on 15-Янв-14, 11:47 
О нём сообщали ещё два года назад :)

http://bugs.ntp.org/show_bug.cgi?id=1532

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Аноним (??) on 15-Янв-14, 11:58 
> О нём сообщали ещё два года назад :)
> http://bugs.ntp.org/show_bug.cgi?id=1532

И до сих пор только в экспериментальной ветке ntp исправили, а в стабильной не стали править чтобы совместимость не нарушить.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

127. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от nagual email(ok) on 17-Янв-14, 19:36 
> Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо
> проспались админы и заметили что ДДОСят)
> И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от

Никогда не смоневался что доля бсд серверов более 30% а не как в статистике м$ :)))

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от Аноним email(??) on 15-Янв-14, 11:40 
freebsd оперативно, как всегда
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от Аноним (??) on 15-Янв-14, 11:57 
В самом свежем выпуске стабильной ветки ntp 4.2.6 проблема не исправлена. Исправления добавлены только в экспериментальной ветке 4.2.7. Поэтому кто виноват, что бага три года не исправлена остаётся под вопросом.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +2 +/
Сообщение от Саша (??) on 15-Янв-14, 12:12 
БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде, приходи, имей ))
И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +3 +/
Сообщение от knike email on 15-Янв-14, 12:20 
>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

Вот здесь херню гоните.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

128. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от nagual email(ok) on 17-Янв-14, 19:37 
>>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
> Вот здесь херню гоните.

Он даже не линуксоид ...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –2 +/
Сообщение от Пропатентный тролль on 15-Янв-14, 12:31 
В деолтной БЗде нтпд отключен. Если админ его включает - должен думать о последствиях. Или как минимум добросовестно реагировать на такие инциденты.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от бедный буратино (ok) on 15-Янв-14, 12:36 
what is "дефолтная бздя"?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +5 +/
Сообщение от masakra (ok) on 15-Янв-14, 12:55 
cat /etc/defaults/rc.conf | grep ntpd_enable
ntpd_enable="NO"                # Run ntpd Network Time Protocol (or NO).
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –3 +/
Сообщение от Аноним (??) on 15-Янв-14, 14:03 
Это такой systemd с кучей левых сервисов, от которых никак не избавиться.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

113. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Гость on 16-Янв-14, 16:56 
Прекрасный комментарий раскрывающий всю "глубину" твоих познаний. Домашнее задание: поставить фрю, загрузиться в неё и написать сюда список "левых сервисов, от которых никак не избавиться".
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

124. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-14, 04:01 
* Домашнее задание: поставить фрю и установить на нее systemd
fixed
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

38. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +2 +/
Сообщение от Neus on 15-Янв-14, 14:28 
> what is "дефолтная бздя"?

вот там она
ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/9.2-RELEASE/
:)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

36. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +4 +/
Сообщение от Аноним (??) on 15-Янв-14, 14:10 
> В деолтной БЗде нтпд отключен. Если админ его включает - должен думать
> о последствиях. Или как минимум добросовестно реагировать на такие инциденты.

А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

44. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Пропатентный тролль on 15-Янв-14, 15:03 
Юникс позволяет пользователям стрелять себе в ноги. Он такой...
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

51. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –2 +/
Сообщение от Аноним (??) on 15-Янв-14, 15:37 
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...

Вполне ожидаемая отмазка.
Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

129. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от nagual email(ok) on 17-Янв-14, 19:38 
>> Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Вполне ожидаемая отмазка.
> Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.

А линукс в голову и никто еще не жаловался ...

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

59. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +6 +/
Сообщение от Аноним (??) on 15-Янв-14, 15:51 
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...

Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь init-скрипт команду rm -rf /*, отмазка будет ровно такой же - надо было смотреть, что запускаешь.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

130. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от nagual email(ok) on 17-Янв-14, 19:39 
>> Юникс позволяет пользователям стрелять себе в ноги. Он такой...
> Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь
> init-скрипт команду rm -rf /*, отмазка будет ровно такой же -
> надо было смотреть, что запускаешь.

Это в линуксе такое случилось ?

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

115. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-14, 01:30 
> Юникс позволяет пользователям стрелять себе в ноги. Он такой...

Но в данном случае - на входе установили самострел. И таки подстрелились. Ибо усиление атаки в 200 раз админу на его серваке с дефолтной конфигой - очевидно совсем не любому админу. А сам по себе ntp в сеть вывешивать ничем таким не криминально. Если бы не такая вот странная реализация.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

86. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Demo (??) on 15-Янв-14, 18:41 
> А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
> Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.

Безопасную — это какую? block all?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

101. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от saNdro on 15-Янв-14, 20:03 
restrict -6 default kod notrap nomodify nopeer noquery
restrict -4 default kod notrap nomodify nopeer noquery
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

19. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Аноним (??) on 15-Янв-14, 13:04 
> И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

57. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 15:45 
У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable. Нифига себе "недавно"!
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

88. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Demo (??) on 15-Янв-14, 18:43 
> У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable.

И чем это вам на протяжении всех этих лет помогало?


Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

68. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 16:41 
> Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.

Фигово вы по-английски читаете. Там написано, что относительно недавно (с версии 4.2.7) оно отключено _в исходном коде_, а для более старых версий нужно использовать restrict.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

46. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от xex on 15-Янв-14, 15:14 
какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так ли, наш великий полиглот?)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

52. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –3 +/
Сообщение от Аноним (??) on 15-Янв-14, 15:39 
> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
> ли, наш великий полиглот?)

Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее монолитности.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

114. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Гость on 16-Янв-14, 16:58 
>> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
>> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
>> ли, наш великий полиглот?)
> Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее
> монолитности.

Зато ничто не мешает не запускать сервис из базовой системы, а поставить новую версию или нечто другое из портов.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

116. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:31 
> Зато ничто не мешает не запускать сервис из базовой системы,

Ну да, гениально придумано. Валяться будет, но можно не запускать.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

125. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от бедный буратино (ok) on 17-Янв-14, 05:31 
>> Зато ничто не мешает не запускать сервис из базовой системы,
> Ну да, гениально придумано. Валяться будет, но можно не запускать.

и? ситуация "срочно понадобилась, но нет" гораздо проблемнее, чем "есть, но валяется без дела". или лишних 10 мб диск жмут?


Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

106. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –2 +/
Сообщение от bab on 16-Янв-14, 03:01 
Вот тут Вы батенька полную херню несете! Даже если имеется какой то там default конфиг, это файл прежде всего рекомендательного характера, а не руководство к запуску по умолчанию. Прежде чем что то запустить, нужно документацию читать и настраивать все согласно своих нужд, а не поступать по Вашему образу и подобию. Сам Unix не прощает безалаберности и безграмотности, тем и хорош что развивает МОЗГ а не деградирует его! Думать, анализировать и на основе выводов принимать решения - основное отличие человека от остальных биологических организмов в природе.  
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

132. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 19-Янв-14, 16:28 
> БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде,
> приходи, имей ))
> И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

BSD BSD рознь.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +5 +/
Сообщение от Аноним (??) on 15-Янв-14, 12:44 
> freebsd оперативно, как всегда

Какой тонкий сарказм. Ну да, атака лишь пару лет как под внимание ALL попала.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

34. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 14:07 
> freebsd оперативно, как всегда

Не прошло и двух лет, ага.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +5 +/
Сообщение от бедный буратино (ok) on 15-Янв-14, 11:51 
> ыполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу

кстати? а зачем? выяснить, кому ещё скучно в ночь глухую (счастливые часов не наблюдают)? типа сайты знакомств 1970 года?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Саша (??) on 15-Янв-14, 12:14 
Ну, для дебага например, в 1970 году компьютеры были большие и как-то надо смотреть логи сервиса, сам то он лог обращений вести не умеет
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Нанобот (ok) on 15-Янв-14, 13:22 
> Ну, для дебага например, в 1970 году компьютеры были большие и как-то
> надо смотреть логи сервиса, сам то он лог обращений вести не
> умеет

не, 600 последних адресов - это ж 2 кила памяти, в 1970 это было б слишком дорогим удовольствием - расходовать их на такую фичу

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

64. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от анон on 15-Янв-14, 16:35 
ещё непонятно, почему именно 600
600 ip хватит всем?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

10. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +3 +/
Сообщение от Perain on 15-Янв-14, 12:17 
/etc/ntp.conf

restrict default ignore
restrict -6 default ignore


service ntpd restart

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Perain on 15-Янв-14, 12:19 
по ipv6 тоже могут юзать dns-recursive ddos
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 12:48 
Да вообще-то и в IPV4 могут. Усиление атаки при помощи открытых DNS-резольверов это ужасный баян. Однако, там и близко нет такого фактора усиления атаки как в этом случае. Тут в лучшем случае плечо 210 - так мобильник может перефлудить сервак. Просто потому что его усилили в 210 раз.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

50. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –2 +/
Сообщение от cvb (??) on 15-Янв-14, 15:34 
Не использует monlist авторизацию, то есть эти restrict не помогут никак.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

54. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +2 +/
Сообщение от Аноним (??) on 15-Янв-14, 15:40 
> Не использует monlist авторизацию, то есть эти restrict не помогут никак.

А у меня почему-то помогает. Наверное, у меня какой-то особенный monlist.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

69. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 16:43 
> Не использует monlist авторизацию, то есть эти restrict не помогут никак.

О том, что restrict поможет, прямо и недвусмысленно написано в официальном анонсе (см. ссылку в тексте новости).

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

89. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –3 +/
Сообщение от Demo (??) on 15-Янв-14, 18:46 
> /etc/ntp.conf
> restrict default ignore
> restrict -6 default ignore

Вам станет легче, если вы будете знать, что ваш ntpd не используется для DoS-атаки?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

117. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:34 
> Вам станет легче, если вы будете знать, что ваш ntpd не используется
> для DoS-атаки?

Да, вы знаете, не очень приятно разгрeбать абузы и выколупываться из блеклистов.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

16. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от Аноним (??) on 15-Янв-14, 12:47 
> на запрос в 234 байт, возвращается ответ в 48 Кб

Ууу, таким макаром можно с мобилки зафлудить крутейший сервак. Коэффициент усиления атаки в какие-то 210 раз - это вам не хухры-мухры.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от pavlinux (ok) on 15-Янв-14, 13:51 
Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе купили компьютер.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

118. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:38 
> Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе
> купили компьютер.

Ты почти угадал насчет компьютера, но проблема в том что я никогда не учился в 4 классе.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

126. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 10:51 
А в каком ты сейчас, в третьем?
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

135. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним email(??) on 06-Мрт-14, 10:37 
Не учился в четвертом классе - человек 1977 года рождения.
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

24. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +2 +/
Сообщение от Анонище on 15-Янв-14, 13:51 
> путем отправки UDP-пакетов с подставным обратным адресом.

IPS не фильтруют SRC IP? Странно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Анонище on 15-Янв-14, 13:52 
s/IPS/ISP/
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от pavlinux (ok) on 15-Янв-14, 13:54 
>> путем отправки UDP-пакетов с подставным обратным адресом.
> IPS не фильтруют SRC IP? Странно.

Тоже компьютер только купили?  

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +2 +/
Сообщение от Анонище on 15-Янв-14, 14:49 
Тоже? Ну , поздравляю тебя, чувак.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

77. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от pavlinux (ok) on 15-Янв-14, 17:45 
Да, там выше ещё один http://www.opennet.ru/openforum/vsluhforumID3/93555.html#16
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

87. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Пропатентный тролль on 15-Янв-14, 18:41 
Человек RPF наверняка имел ввиду, а вы гнобите..
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

98. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от anonymous (??) on 15-Янв-14, 19:32 
> Человек RPF наверняка имел ввиду, а вы гнобите..

RPF и есть по сути частный случай "фильтрация SRC IP". Наехали на человека абсолютно без повода, вопрос очень правильный был задан.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

103. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от pavlinux (ok) on 16-Янв-14, 00:13 
И чё теперь, из-за опеннетовских аналитиков нельзя VPN-бриджы строить?

  

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

80. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от www2 (ok) on 15-Янв-14, 18:18 
SRC-адрес от хоста в Интернете? Ну можно, кончено, зафильтровать. Только тогда клиенты ISP'а смогут только между собой связываться.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

96. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от anonymous (??) on 15-Янв-14, 19:22 
Если не разбираетесь в вопросе, не комментируйте.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

97. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от anonymous (??) on 15-Янв-14, 19:27 
Зависит от провайдера.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

100. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Анонище on 15-Янв-14, 19:35 
Интереснее, от чего зависит У провайдера. :)
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

133. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от muff on 25-Янв-14, 16:26 
> Интереснее, от чего зависит У провайдера. :)

Магистралы и провайдеры предоставляющие услуги бизнес-абонентам SRC не фильтруют, в связи с тем, что у абонентов может быть несколько аплинков; клиенты со своими блоками IP-адресов, у которых клиенты тоже используют по несколько аплинков... И так до бесконечности.

Тоесть запрос может прийти к серверу на одну айпишку, а ответ пойдет через другого провайдера, но в SRC будет адрес сервиса, на который пришел запрос. Зафильтровав трафик по SRC, создадим проблемы чуть ли не четверти бизнес-абонентов. Давно уже прошли времена, когда подключали только один канал Интернета. Сейчас деятельность организаций очень зависит от доступа в сеть Интернет, соответственно у многих по несколько аплинков.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

26. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Нанобот (ok) on 15-Янв-14, 13:51 
кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать во всём интернете и никто не заметит разницы
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Demo (??) on 15-Янв-14, 18:49 
> кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать
> во всём интернете и никто не заметит разницы

И оставить только 80-й порт TCP.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 13:54 
Приятно всё-таки осознавать, что развитие интернета не стоит на месте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Аноним (??) on 15-Янв-14, 13:57 
А почему это ntp сервера сливают логи о пользователях первому встречному?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от Аноним (??) on 15-Янв-14, 14:06 
> А почему это ntp сервера сливают логи о пользователях первому встречному?

Потому что в FreeBSD они по умолчанию были настроены именно так.
Новость, собственно, о том, что это наконец-то закрыли.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

91. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Demo (??) on 15-Янв-14, 18:50 
>> А почему это ntp сервера сливают логи о пользователях первому встречному?
> Потому что в FreeBSD они по умолчанию были настроены именно так.

При чём здесь FreeBSD? Это ошибка в ДНК у создателей ntpd.


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

119. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:40 
> А почему это ntp сервера сливают логи о пользователях первому встречному?

Ну как, безопасность и все такое. Вот спрашивает eГоп у сервака - сколько время? Сервак ему - полшестого! А товарищ маойр уже в курсе - ага, такой-то спрашивал сколько времени. Так и запишем!

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  –1 +/
Сообщение от pavlinux (ok) on 15-Янв-14, 14:02 
> результатом которого является отправка списка 600 последних IP-адресов,
> с которых были обращения к NTP-серверу.

Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если конечно сервак не stratum 0  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +3 +/
Сообщение от shadowcaster on 15-Янв-14, 14:56 
сервак не бывает stratum 0, 0 - это reference clocks.
сервак минимум stratum 1.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

49. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от pavlinux (ok) on 15-Янв-14, 15:27 
> сервак не бывает stratum 0, 0 - это reference clocks.
> сервак минимум stratum 1.

Я и говорю, - спутниковая хрень подключенная к /dev/ttyS0

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

120. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:42 
> спутниковая хрень подключенная к /dev/ttyS0

Наступил 2014 год. Павлин открыл для себя GPS :).

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

71. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 16:44 
> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
> конечно сервак не stratum 0

Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в протокол добавили еще один бит?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

72. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от pavlinux (ok) on 15-Янв-14, 17:03 
>> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
>> конечно сервак не stratum 0
> Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
> протокол добавили еще один бит?

Курить RFC два раза в день

Stratum 0
These are high-precision timekeeping devices such as atomic (cesium, rubidium) clocks,
GPS clocks or other radio clocks. They generate a very accurate pulse per second signal
that triggers an interrupt and timestamp on a connected computer. Stratum 0 devices are
also known as reference clocks.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

82. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от www2 (ok) on 15-Янв-14, 18:24 
>> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
>> конечно сервак не stratum 0
> Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
> протокол добавили еще один бит?

Ну вроде стратум 0 бывает только у источника точного времени, а сервер NTP, который от этого источника синхронизируется, уже должен иметь стратум 1. Так что NTP-серверов со стратум 0 вроде как не бывает.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

62. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от pavlinux (ok) on 15-Янв-14, 16:02 
> а тем временем в ядре linux продолжают закрывать remote root...

Предъява без эксплойта - высер!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

73. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 17:03 
Интересно, это связано с тем, что в моей убунточке вчера время спешило на 20 минут?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от бедный буратино (ok) on 15-Янв-14, 17:37 
Конечно, связано. Это из-за тебя, безалаберного, весь мировой интернет поломался. А ты как думал?
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

78. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 17:46 
Не, я имею ввиду не они из-за меня, а я из-за них.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

94. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 15-Янв-14, 18:58 
Да все вы там друг-друга!
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

122. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:46 
> на 20 минут?

А ты вообще ntp используешь, для начала?

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

85. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +1 +/
Сообщение от Demo (??) on 15-Янв-14, 18:33 
> Обновление с устранением уязвимости (CVE-2013-5211) уже выпущено

А в чём уязвимость то, если такое поведение by design? Скорее это уязвимость в голове designer-а...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

104. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Mt on 16-Янв-14, 01:15 
2014 год, провайдеры все еще не способны отфильтровать подставные src в ip трафике от своих клиентов. Может с такими "ISP" связность разрывать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

105. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от t28 on 16-Янв-14, 02:47 
> 2014 год, провайдеры все еще не способны отфильтровать подставные src в ip
> трафике от своих клиентов. Может с такими "ISP" связность разрывать?

Вам уже писали, что спуфинг — вполне нормальная технология, использующася много где для вполне обычных вещей вроде load balancing-а.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

107. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 05:26 
Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

110. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Demo (??) on 16-Янв-14, 12:22 
> Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить

Ты знаешь, за всё время работы ни от ABOVE.NET-а, ни от Cogent-а, ни от Verizon-а, ни от других провайдеров вопросов по поводу исходящего от нас спуфинга ни разу не поступало. Ещё раз повторю — нормальные провайдеры такой фигнёй как фильтрация спуфинга не страдают. Допускаю, что на просторах СНГ какая-то шибко вумная мелочь пузатая фильтрует.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

111. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 16-Янв-14, 15:22 
>вопросов по поводу исходящего от нас спуфинга ни разу не поступало

А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних затрат? Или лучший способ это колокейшин у провайдера?

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

112. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Demo (??) on 16-Янв-14, 16:26 
> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
> затрат? Или лучший способ это колокейшин у провайдера?

Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений. Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее взять у ДЦ в аренду, чем перевозить своё.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

123. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от john (??) on 17-Янв-14, 02:19 
>> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
>> затрат? Или лучший способ это колокейшин у провайдера?
> Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре
> Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается
> нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений.
> Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее
> взять у ДЦ в аренду, чем перевозить своё.

Какой то не понятный алгоритм, если честно :)

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

121. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +/
Сообщение от Аноним (??) on 17-Янв-14, 01:43 
> Может с такими "ISP" связность разрывать?

Да, отключите все сетевые провода во внешний мир.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

131. "Волна DDoS-атак, использующих NTP-серверы для усиления трафика"  +/
Сообщение от Аноним (??) on 19-Янв-14, 16:27 
>[оверквотинг удален]
> с которых были обращения к NTP-серверу. В результате размер ответа в
> несколько сотен раз превышает исходный запрос, что позволяет многократно усилить объём
> трафика, генерируемого в сторону системы жертвы.
> Проблему усугубляет то, что команда monlist выполняется без аутентификации. В качестве
> временной меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется ограничить
> доступ к сервису NTP для внешних сетей или использовать  специально
> модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно
> пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c).
> Обновления с устранением уязвимости уже выпущены для FreeBSD (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Jan...).
> \

ntpd как бы не единственный на свете. Но пользователи, скажем, OpenNTPD могут спать спокойно. Наверное, стоило бы упомянуть, что затронуты именно сервера с референсным ntpd?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

134. "Волна DDoS-атак, использующих NTP-серверы для усиления трафи..."  +2 +/
Сообщение от Владимир email(??) on 15-Фев-14, 00:43 
Настроить линух с его GUI проще, наверное, чем FreeBSD, - подумает туева хуча дилетантов-линуксоидов - и выберет линукс вместо фряхи. Каждый линукосоид будет биться за то, что именно его сборка самая лучшая в мире, хотя там ногу сломаешь. Нет никакой стройности и преемственности. Во фряхе можно очень быстро разобраться в любой версии, ибо имеет место стройность и преемственность. Поэтому "БСДуны" сосредоточены, как правило, лишь на решении конкретной задачи, а не на втаптывании в грязь осей, отличных от БСД (линуксоиды этим напоминают порой фанатов айфона, плюющих в сторону всех девайсов андроидом), и не на том, чтобы разобраться в новой ОСи. Каждый работает на том, что ему ближе и понятнее, но лично мне фряха понятнее и роднее уже много лет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру