Estamos lidiando con un ataque de reflexión / amplificación NTP en nuestros servidores ubicados. Esta pregunta es específica para responder a los ataques de reflexión NTP, y no está dirigida a DDoS en general.
Aquí está el tráfico:
Está produciendo un poco de CPU en nuestro enrutador:
Desafortunadamente, no es lo suficientemente grande como para hacer que nuestro proveedor ascendente bloquee el tráfico, lo que significa que nos está pasando.
Hemos utilizado la siguiente regla para bloquear el tráfico NTP, que se origina en el puerto 123:
-p udp --sport 123 -j DROP
Esta es la primera regla en IPTables.
Busqué mucho y no puedo encontrar mucha información sobre cómo usar IPTables para mitigar un ataque de reflexión NTP. Y parte de la información por ahí parece completamente incorrecta. ¿Es correcta esta regla de IPTables? ¿Hay algo más que podamos agregar o hacer para mitigar un ataque de reflexión / amplificación NTP que no sea contactar a nuestro proveedor de red ascendente?
Además: dado que estos atacantes deben usar redes que
- permitir la suplantación de direcciones IP en paquetes
- tienen parcheo, código NTP de alrededor de 2010
¿Hay alguna cámara de compensación global a la que podamos informar estas direcciones IP, para que se arreglen y dejen de permitir paquetes falsificados y parchen sus servidores NTP?
Respuestas:
Esencialmente, no tiene suerte si el ataque DDoS logra llenar cualquier tubería que tenga a Internet (que es el propósito de cualquier ataque de reflexión UDP: llenar la tubería). Si su enlace ascendente puede tomar 1 Gbps de tráfico, y hay (digamos) 2 Gbps de tráfico total para ir por el enlace, entonces la mitad de la misma será soltada por el enrutador o el conmutador que está poniendo los paquetes en el enlace. Al atacante no le importa que se caiga la mitad de su tráfico de ataque, pero sus clientes sí: la pérdida de paquetes del 50% en una conexión TCP va a hacer cosas terribles para el rendimiento y la fiabilidad de esas conexiones.
Solo hay
dosformas de detener un ataque DDoS volumétrico:Bloquearlos en iptables no hará sentadillas, porque para entonces el tráfico de ataque ya ha exprimido el tráfico legítimo y ha provocado que se caiga al suelo, por lo que el atacante ha ganado. Como usted (presumiblemente) no controla el enrutador o conmutador ascendente que reenvía el tráfico de ataque, sí, tendrá que ponerse en contacto con su proveedor de red ascendente y hacer que hagan algo para evitar que el tráfico de ataque llegue a su red enlace, ya sea
bloquear todo el tráfico en el puerto de ataque (no es algo que la mayoría de los ISP estén dispuestos a hacer en sus enrutadores de acceso de cliente colo
$REASONS
)filtrar las direcciones IP de origen del ataque (más plausible, con S / RTBH, pero no es algo que todos los proveedores ya tengan disponible)
peor de los casos, bloquear la dirección IP de destino
Tenga en cuenta que bloquear la IP solo funciona si tiene otras direcciones IP que pueden continuar funcionando: si su proveedor bloquea su única dirección IP, el atacante ha tenido éxito porque está fuera de Internet, que es lo que intentaban lograr en primer lugar.
fuente
Asumiré que tiene una tubería a su ISP que termina en su propio enrutador / firewall. Luego, detrás de ese enrutador / firewall, tiene sus propias máquinas. El ISP no bloqueará el tráfico, por lo que debe tratarlo usted mismo. Desea bloquear el tráfico en el enrutador / firewall para evitar que golpee las máquinas detrás de este mientras minimiza la carga en el enrutador / firewall.
Su regla parece correcta para descartar cualquier cosa que provenga de un servidor ntp en el puerto estándar. Recuerde que si realmente usa ntp, es posible que deba hacer agujeros en las reglas de su firewall
Si su cortafuegos usa el seguimiento de la conexión (la mayoría lo hace), entonces puede usar la tabla "sin procesar" para descartar los paquetes antes de que lleguen al dispositivo de seguimiento de la conexión.
iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP
fuente
Parece que podemos informar las IP por abuso de NTP (y con suerte, parches de NTP) a
http://openntpproject.org/
En cuanto a las redes de informes que permiten IP falsificadas, no puedo encontrar mucho :
¿Quizás el único método es contactar al ISP directamente?
fuente