Pesquisar na Comunidade

Olá pessoal, Vim através deste tópico notificar vocês para que façam bloqueio de Servidores NTP em suas redes (Geralmente o VMware ESXi 4.*) pois é uma grande ameaça para nós que trabalhamos no mercado de hosting. 1. Se você utilizar o ntpd, atualize o mesmo a versão mais recente, na qual remove o comando "monlist" que é usado para esses ataques, ou também poderá desabilitar a função de monitorização, acrescentando "disable monitor" ao arquivo /etc/ntp.conf. 2. Defina a instalação NTP para atuar como um único cliente. Com ntpd, pode ser feito com "restrict default ignore" no /etc/ntp.conf; outros daemons deve ter uma opção de configuração similar. Mais informações sobre a configuração de dispositivos diferentes podem ser encontrados aqui: https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html É importante que o problema seja resolvido em servidores NTP abertos, tendo em mente que o fato de amplificação é de 400x + NTP DRDoS - um pedido de 40 bytes de comprimento geralmente gera 18.252 bytes no valor de tráfego de resposta - com somente UMA máquina de 1Gbps é capaz de gerar ataques de até 450Gbps+. Mais fontes: https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks https://isc.sans.org/forums/diary/NTP+reflection+attack/17300 http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&smlogin=true Um de meus clientes foi alvo de um ataque na margem de 50Gbps até colocarmos o mesmo, como pode ser visto no seguinte gráfico: