IPTablesでのNTPリフレクション攻撃への対処

16

私たちは、同じ場所に配置されたサーバーでのNTPリフレクション/増幅攻撃に対処しています。この質問はNTPリフレクション攻撃への応答に固有のものであり、一般的なDDoS向けではありません。

トラフィックは次のとおりです。

ルーターネットワークトラフィックグラフ

ルーターのCPUが少し乱れています。

ルーターのCPU使用率グラフ

残念ながら、アップストリームプロバイダーにトラフィックをブラックホールさせるほどの大きさではありません。これは、トラフィックが私たちに通過することを意味します。

次のルールを使用して、ポート123で発生するNTPトラフィックをブロックしました。

-p udp --sport 123 -j DROP

これはIPTables の最初のルールです。

よく検索しましたが、IPTablesを使用してNTPリフレクション攻撃を軽減する方法に関する情報はあまり見つかりません。そして、そこにある情報の一部は完全に間違っているようです。このIPTablesルールは正しいですか?アップストリームネットワークプロバイダーに連絡する以外に、NTPリフレクション/増幅攻撃を緩和するために追加または実行できるものはありますか?

また、これらの攻撃者はネットワークを使用する必要があるため、

  • パケット内のIPアドレスのなりすましを許可する
  • パッチ未適用、2010年頃のNTPコード

これらのIPアドレスを報告できるグローバルクリアリングハウスはありますか。それにより、偽造パケットの許可を停止し、NTPサーバーにパッチを適用するように修正されます。

ntp  ddos 
ジェフ・アトウッド
ソース
10
はい、iptablesルールは正しいですが、パイプの終わり、サーバーでパケットフィルターを実行しても、パイプがいっぱいになるのを防ぐことはできません。詳細については、serverfault.com
HBruijn

回答:

20

基本的に、DDoS攻撃がインターネットへのパイプ(UDPリフレクション攻撃の目的-パイプを埋める)を埋めることができれば、あなたは運が悪いです。アップストリームリンクが1 Gbpsのトラフィックを取ることができ、(たとえば)合計2 Gbpsのトラフィックがリンクをダウンする場合、その半分は、パケットをリンクに配置するルーターまたはスイッチによってドロップされます。攻撃者は、攻撃トラフィックの半分がドロップされることを気にしませんが、顧客はそれを行います。TCP接続での50%のパケット損失は、これらの接続のパフォーマンスと信頼性にひどくひどいことをします。

唯一存在する2体積DDoS攻撃を停止するには、次の3つの方法が:

  1. 十分な大きさのパイプを用意して、攻撃トラフィックで満たされないようにします。
  2. 攻撃パケットがパイプに入る前に停止します。
  3. NTPリフレクション攻撃を受けていない別のIPアドレスにシフトします。

iptablesでブロックしても、スクワットは行われません。攻撃トラフィックがすでに正当なトラフィックを絞り出しており、床に落とされているため、攻撃者が勝っているからです。あなたは(おそらく)攻撃トラフィックを転送している上流のルーターまたはスイッチを制御しないので、はい、上流のネットワークプロバイダーと連絡を取って、攻撃トラフィックがネットワークに到達するのを阻止するために何かをする必要がありますリンクかどうか

  • 攻撃ポート上のすべてのトラフィックをブロックします(ほとんどのISPがcoloの顧客アクセスルーターで行うことを望んでいることではありません$REASONS

  • 攻撃の送信元IPアドレスをフィルターで除外します(S / RTBHを使用した場合にもっともらしいですが、すべてのプロバイダーが既に利用できるものではありません)

  • 最悪の場合、宛先IPアドレスをブラックホール

IPのブラックホール化は、動作を継続できる他のIPアドレスを持っている場合にのみ機能することに注意してください-プロバイダーがあなたの唯一のIPアドレスをブラックホール化した場合、攻撃者はインターネットから離れているため成功します。そもそも。

ワンブル
ソース
ISPがトラフィックをブロックしたくない理由はありますか?
アンドレボリー
4
理由はたくさんあります。1. ISPは、トラフィックをブロックするのではなく、トラフィックを配信するために支払いを受けます。2.高価な(100G +)トラフィック量の多いラインレート検査を実行できるのは、ハイエンドのネットワーク機器のみです。3.顧客の要求からコアルーターの構成行に移動することは簡単ではありません。
ワンブル
5

ISPへのパイプは、自分のルーター/ファイアウォールで終端していると思います。次に、そのルーター/ファイアウォールの後ろに、独自のマシンがあります。ISPはトラフィックをブロックしないため、自分で対処する必要があります。ルーター/ファイアウォールの負荷を最小限に抑えながら、ルーター/ファイアウォールでトラフィックをブロックして背後のマシンに衝突するのを防ぎます。

あなたのルールは、標準ポート上のntpサーバーから来たものは何でもドロップするように見えます。実際にntpを使用する場合は、ファイアウォールルールに穴を開ける必要があるかもしれないことを忘れないでください

ファイアウォールが接続追跡を使用している場合(ほとんどの場合)、「raw」テーブルを使用して、パケットが接続追跡機械に到達する前にドロップすることができます。

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

ピーター・グリーン
ソース
1

NTPの不正使用(およびできればNTPパッチ)のIPを報告できるようです

http://openntpproject.org/

スプーフィングされたIPを許可するレポートネットワークについては、あまり見つけることができません

私たちの測定では、調査対象の自律システムとネットブロックの約25%で、スプーフィングが依然として一般的であることを示しています。さらに重要なことに、スプーフィングされたトラフィックの単一のエントリポイントは、攻撃者にスプーフィングされたトラフィックをインターネット全体に送信する手段を提供します。ISPは、フィルタリング[RFC2827]を使用して、発信トラフィックがスプーフィングされないようにすることができます。

おそらく唯一の方法はISPに直接連絡することですか?

ジェフ・アトウッド
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.