- PVSM.RU - https://www.pvsm.ru -
13 января Компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение [1] о новом способе DDoS-атак. Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. Таким образом, небольшим запросом от зараженного компьютера к жертве отправляется большой поток UDP. В этом и заключается сущность амплификации.
Незащищенный NTP-сервер становится невольным промежуточным звеном атаки.
Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).
Проверить свой сервер на уязвимость можно выполнив команду
ntpdc -c monlist адрес_сервера
Если команда выдает список клиентов (а не «timed out, nothing received»), значит система уязвима.
Как минимум 3 способа:
1) Обновить ntpd до версии 4.2.7p26. В FreeBSD обновите порты и установите ntpd из net/ntp-devel.
Без обновления можно:
2) Отключить monlist в ntp.conf, добавив строчку
disable monitor
3) Или отключить любые запросы статуса сервера в restrict default
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
Возможно, вы вообще не знали, что ваш NTP-сервер виден наружу (-:. Тогда отключите доступ к нему полностью.
Я столкнулся с этой проблемой еще в ноябре, когда NTP-трафик на моем публичном NTP stratum1.net [2] стал 30Гб в час. Заметил я это не сразу, т.к. даже на процессоре Atom загрузка была менее 5%. Тогда я написал bash-скрипт, который смотрел статистику трафика граничного брандмауэра за последние полчаса (через netflow [3]) и автоматически добавлял правило deny для слишком активным клиентов. И вот через два месяца стало понятно, что это было.
support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using [4]
www.kb.cert.org/vuls/id/348126 [5]
www.opennet.ru/opennews/art.shtml?num=38855 [6]
P.S. В недавнем топике [7] был описан частный случай атаки vmware esxi.
Автор: gag_fenix
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/52979
Ссылки в тексте:
[1] предупреждение: https://www.us-cert.gov/ncas/alerts/TA14-013A
[2] stratum1.net: http://www.stratum1.net/
[3] netflow: http://habrahabr.ru/post/127613/
[4] support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using: http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using
[5] www.kb.cert.org/vuls/id/348126: http://www.kb.cert.org/vuls/id/348126
[6] www.opennet.ru/opennews/art.shtml?num=38855: http://www.opennet.ru/opennews/art.shtml?num=38855
[7] недавнем топике: http://habrahabr.ru/post/208152/
[8] Источник: http://habrahabr.ru/post/209438/
Нажмите здесь для печати.