Alerta De Segurança - 400Gbps Ddos Attack

[Visitante]

Olá pessoal,

 

Vim através deste tópico notificar vocês para que façam bloqueio de Servidores NTP em suas redes (Geralmente o VMware ESXi 4.*) pois é uma grande ameaça para nós que trabalhamos no mercado de hosting.

 

1. Se você utilizar o ntpd, atualize o mesmo a versão mais recente, na qual remove o comando "monlist" que é usado para esses ataques, ou também poderá desabilitar a função de monitorização, acrescentando "disable monitor" ao arquivo /etc/ntp.conf.

2. Defina a instalação NTP para atuar como um único cliente. Com ntpd, pode ser feito com "restrict default ignore" no /etc/ntp.conf; outros daemons deve ter uma opção de configuração similar. Mais informações sobre a configuração de dispositivos diferentes podem ser encontrados aqui: https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

 

É importante que o problema seja resolvido em servidores NTP abertos, tendo em mente que o fato de amplificação é de 400x + NTP DRDoS - um pedido de 40 bytes de comprimento geralmente gera 18.252 bytes no valor de tráfego de resposta - com somente UMA máquina de 1Gbps é capaz de gerar ataques de até 450Gbps+. 

 

Mais fontes: 

https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks 

https://isc.sans.org/forums/diary/NTP+reflection+attack/17300 

http://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks 

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&smlogin=true

 

Um de meus clientes foi alvo de um ataque na margem de 50Gbps até colocarmos o mesmo, como pode ser visto no seguinte gráfico:

 

[Visitante]

-- Update

 

Como podem ver abaixo, um de meus hypervisors sendo utilizado p/ataques DDOS

 

Lembrando, provavelmente a falha já está resolvida a partir do ESXi 5.* pois não encontrei nenhum NTP Daemon sendo executado em meus servidores.

 

O servidor que estava sendo utilizado p/ataques utilizava a versão 4.*, então precisei killar o processo de forma mais "bruta" diretamente utilizando o comando kill

 

Antes de ser killado:

 

[root@hosted-by /]# ntpdc -c monlist 108.61.*.*

remote address          port local address      count m ver code avgint  lstint

===============================================================================

hosted-by.carbonhost.c 46796 108.61.*.*           3 7 2    580     11       0

dhcp-077-249-172-138.c    80 108.61.*.*          25 7 2    580     30       2

oss.net1.net            8080 108.61.*.*          51 7 2    580      7       2

server2.allsitecontrol    80 108.61.*.*          51 7 2    580      7       2

cpc11-sotn9-2-0-cust32    80 108.61.*.*          50 7 2    580      7       2

b151c720.virtua.com.br    80 108.61.*.*          22 7 2    580     37       4

cu.comp-unltd.com       8080 108.61.*.*          71 7 2    580      6       4

6bewy3w.ni.net.tr       9987 108.61.*.*          19 7 2    580      7       9

221.23.117.89.static.l    80 108.61.*.*          54 7 2    580      7      11

23.91.115.229-static.r    80 108.61.*.*           2 7 2    580     15      11

alpha.thebouncer.eu     6667 108.61.*.*          53 7 2    580      9      13

squid150.pusd.org         80 108.61.*.*          36 7 2    580      9      18

ks4010633.ip-192-99-1. 25565 108.61.*.*          29 7 2    580     12      23

212-83-131-148.rev.pon 25587 108.61.*.*           9 7 2    580     16      27

host109-145-64-120.ran  3074 108.61.*.*           4 7 2    580      8     100

189.1.169.136          27035 108.61.*.*          55 7 2    580      6     132

108-194-214-49.lightsp    80 108.61.*.*          10 7 2    580     10     159

5.134.115.50              53 108.61.*.*          11 7 2    580     16     174

32.29.208.46.dyn.plus.    80 108.61.*.*          14 7 2    580     26     196

109.103.248.68            80 108.61.*.*          32 7 2    580      8     251

97-117-249-190.phnx.qw    80 108.61.*.*           4 7 2    580     11     278

200-98-64-216.clouduol    80 108.61.*.*           6 7 2    580     13     291

02d939bf.bb.sky.com       80 108.61.*.*           2 7 2    580      0     307

service.playstation.ne    80 108.61.*.*           5 7 2    580     18     326

99-106-138-163.lightsp    80 108.61.*.*           2 7 2    580     22     327

host-77-243-99-53.star   137 108.61.*.*          12 7 2    580     10     357

99-1-38-165.lightspeed  3074 108.61.*.*           1 7 2    580      0     397

c-50-158-149-30.hsd1.i    80 108.61.*.*           1 7 2    580      0     417

201-51-115-254.user.ve    80 108.61.*.*           5 7 2    580     19     427

static-30-241-132-188.  9987 108.61.*.*          16 7 2    580      8     453

ANantes-656-1-232-25.w    80 108.61.*.*           2 7 2    580      1     544

 

Depois de ser killado:

 

[root@hosted-by /]# ntpdc -c monlist 108.61.*.*

ntpdc: read: Connection refused

 

Vamos lá então.

 

Digite o seguinte comando no acesso SHELL do servidor ESXi:

 

ps -aux | grep "ntp" 

 

/etc # ps -aux | grep "ntp"

41954041 41954041 ntpd                 ntpd

 

41954041 é o valor do PID

 

então basta killar o processo usando " kill 41954041 " 

 

 

 

[EuMarcos]

Pode conferir se seu ip também está listado em http://openntpproject.org/