Xử lý các cuộc tấn công phản chiếu NTP trong IPTables


16

Chúng tôi đang đối phó với một cuộc tấn công khuếch đại / phản xạ NTP tại các máy chủ được tạo ra của chúng tôi. Câu hỏi này là cụ thể để trả lời các cuộc tấn công phản chiếu NTP và không hướng vào DDoS nói chung.

Đây là lưu lượng:

bộ định tuyến lưu lượng truy cập mạng

Đó là một chút CPU trên bộ định tuyến của chúng tôi:

đồ thị CPU sử dụng bộ định tuyến

Thật không may, nó không đủ lớn để khiến nhà cung cấp thượng nguồn của chúng tôi làm tắc nghẽn lưu lượng, điều đó có nghĩa là nó đi qua chúng tôi.

Chúng tôi đã sử dụng quy tắc sau để chặn lưu lượng NTP, bắt nguồn từ cổng 123:

-p udp --sport 123 -j DROP

Đây là quy tắc đầu tiên trong IPTables.

Tôi đã tìm kiếm rất nhiều và tôi không thể tìm thấy nhiều thông tin về cách sử dụng IPTables để giảm thiểu cuộc tấn công phản chiếu NTP. Và một số thông tin ngoài kia dường như không chính xác. Quy tắc IPTables này có đúng không? Có bất cứ điều gì khác mà chúng tôi có thể thêm hoặc làm để giảm thiểu cuộc tấn công khuếch đại / phản xạ NTP ngoài việc liên hệ với nhà cung cấp mạng ngược dòng của chúng tôi không?

Ngoài ra: vì những kẻ tấn công này phải sử dụng các mạng

  • cho phép giả mạo địa chỉ IP trong các gói
  • chưa được chỉnh sửa, vào khoảng năm 2010 mã NTP

Có bất kỳ trung tâm thanh toán bù trừ toàn cầu nào mà chúng tôi có thể báo cáo các địa chỉ IP này để chúng được sửa chữa để ngừng cho phép các gói giả mạo và vá các máy chủ NTP của chúng không?


10
Có, quy tắc iptables là chính xác, nhưng chạy bộ lọc gói ở cuối đường ống của bạn, tại máy chủ của bạn, sẽ không ngăn đường ống đầy, để biết thêm thông tin, hãy xem: serverfault.com/questions/531941/i-am- under-ddos-what-can-i-do
HBruijn

Câu trả lời:


20

Về cơ bản, bạn sẽ không gặp may nếu cuộc tấn công DDoS quản lý để lấp đầy bất kỳ đường ống nào bạn có vào Internet (đó là mục đích của bất kỳ cuộc tấn công phản chiếu UDP nào - để lấp đầy đường ống). Nếu liên kết ngược dòng của bạn có thể mất 1Gbps lưu lượng và có (tổng số 2Gbps lưu lượng truy cập) để đi xuống liên kết, thì một nửa trong số đó sẽ bị bộ định tuyến bỏ hoặc chuyển các gói xuống liên kết. Kẻ tấn công không quan tâm rằng một nửa lưu lượng tấn công của chúng bị giảm, nhưng khách hàng của bạn thì: mất 50% gói trong kết nối TCP sẽ làm những điều khủng khiếp, khủng khiếp đối với hiệu suất và độ tin cậy của các kết nối đó.

Chỉ có hai ba cách để ngăn chặn một cuộc tấn công DDoS thể tích:

  1. Có một đường ống đủ lớn để lưu lượng tấn công không lấp đầy nó.
  2. Dừng các gói tấn công trước khi chúng đi xuống đường ống.
  3. Chuyển sang một địa chỉ IP khác không bị tấn công phản xạ NTP.

Chặn chúng trong iptables sẽ không ngồi xổm, bởi vì sau đó lưu lượng tấn công đã vắt kiệt lưu lượng truy cập hợp pháp và khiến nó bị rơi trên sàn, vì vậy kẻ tấn công đã giành chiến thắng. Vì bạn (có lẽ) không kiểm soát bộ định tuyến ngược hoặc chuyển đổi đang chuyển tiếp lưu lượng tấn công, nên, bạn sẽ phải liên lạc với nhà cung cấp mạng ngược dòng của mình và yêu cầu họ làm gì đó để ngăn chặn lưu lượng tấn công truy cập mạng của bạn liên kết, cho dù đó là

  • chặn tất cả lưu lượng truy cập trên cổng tấn công (không phải là điều mà hầu hết các ISP sẵn sàng thực hiện trên các bộ định tuyến truy cập khách hàng colo của họ, cho $REASONS)

  • lọc ra các địa chỉ IP nguồn của cuộc tấn công (hợp lý hơn, với S / RTBH, nhưng không phải là thứ mà mọi nhà cung cấp đã có sẵn)

  • trường hợp xấu nhất, lỗ đen địa chỉ IP đích

Lưu ý rằng việc bôi đen IP chỉ hoạt động nếu bạn có các địa chỉ IP khác có thể tiếp tục hoạt động - nếu nhà cung cấp của bạn đánh cắp địa chỉ IP duy nhất của bạn, kẻ tấn công đã thành công vì bạn đã tắt Internet, đó là điều họ đang cố gắng đạt được ở nơi đầu tiên


Bạn có biết tại sao các ISP không muốn chặn lưu lượng không?
André Borie

4
Có rất nhiều lý do. 1. ISP được trả tiền để phân phối lưu lượng, không chặn nó. 2. Chỉ các thiết bị mạng cao cấp mới có khả năng thực hiện kiểm tra tốc độ đường truyền trên lưu lượng lớn (100G +), rất tốn kém. 3. Việc chuyển từ yêu cầu của khách hàng sang cấu hình các dòng trong bộ định tuyến lõi không phải là chuyện nhỏ.
womble

5

Tôi sẽ giả sử bạn có một đường ống đến ISP của bạn chấm dứt trên bộ định tuyến / tường lửa của riêng bạn. Sau đó, đằng sau bộ định tuyến / tường lửa, bạn có máy tính của riêng bạn. ISP sẽ không chặn lưu lượng để bạn phải tự xử lý. Bạn muốn chặn lưu lượng truy cập tại bộ định tuyến / tường lửa để ngăn chặn nó tấn công các máy phía sau nó trong khi giảm thiểu tải cho bộ định tuyến / tường lửa.

Quy tắc của bạn có vẻ phù hợp để loại bỏ bất cứ thứ gì xuất phát từ máy chủ ntp trên cổng tiêu chuẩn. Hãy nhớ nếu bạn thực sự sử dụng ntp, bạn có thể cần chọc các quy tắc tường lửa của mình

Nếu tường lửa của bạn sử dụng theo dõi kết nối (hầu hết làm) thì bạn có thể muốn sử dụng bảng "thô" để loại bỏ các gói trước khi chúng đến máy theo dõi kết nối.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP


1

Có vẻ như chúng tôi có thể báo cáo các IP về lạm dụng NTP (và hy vọng, vá NTP) cho

http://openntpproject.org/

Đối với các mạng báo cáo cho phép IP giả mạo, tôi không thể tìm thấy nhiều :

Các phép đo của chúng tôi cho thấy rằng việc giả mạo vẫn còn phổ biến trong số khoảng 25% các hệ thống tự trị và netblocks mà chúng tôi khảo sát. Quan trọng hơn, một điểm vào duy nhất cho lưu lượng giả mạo cung cấp cho kẻ tấn công một phương tiện để gửi lưu lượng giả mạo đến toàn bộ Internet. Các ISP có thể sử dụng bộ lọc [RFC2827] để đảm bảo lưu lượng ra bên ngoài của họ không bị giả mạo.

Có lẽ phương pháp duy nhất là liên hệ trực tiếp với ISP?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.