Jump to content

Alerta De Segurança - 400Gbps Ddos Attack


Guest

Recommended Posts

Olá pessoal,

 

Vim através deste tópico notificar vocês para que façam bloqueio de Servidores NTP em suas redes (Geralmente o VMware ESXi 4.*) pois é uma grande ameaça para nós que trabalhamos no mercado de hosting.

 

1. Se você utilizar o ntpd, atualize o mesmo a versão mais recente, na qual remove o comando "monlist" que é usado para esses ataques, ou também poderá desabilitar a função de monitorização, acrescentando "disable monitor" ao arquivo /etc/ntp.conf.
2. Defina a instalação NTP para atuar como um único cliente. Com ntpd, pode ser feito com "restrict default ignore" no /etc/ntp.conf; outros daemons deve ter uma opção de configuração similar. Mais informações sobre a configuração de dispositivos diferentes podem ser encontrados aqui: https://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
 
É importante que o problema seja resolvido em servidores NTP abertos, tendo em mente que o fato de amplificação é de 400x + NTP DRDoS - um pedido de 40 bytes de comprimento geralmente gera 18.252 bytes no valor de tráfego de resposta - com somente UMA máquina de 1Gbps é capaz de gerar ataques de até 450Gbps+. 
 
Mais fontes: 

 

Um de meus clientes foi alvo de um ataque na margem de 50Gbps até colocarmos o mesmo, como pode ser visto no seguinte gráfico:

 

g9L1qAc.png

Link to comment
Share on other sites

-- Update

 

Como podem ver abaixo, um de meus hypervisors sendo utilizado p/ataques DDOS

 

Lembrando, provavelmente a falha já está resolvida a partir do ESXi 5.* pois não encontrei nenhum NTP Daemon sendo executado em meus servidores.

 

O servidor que estava sendo utilizado p/ataques utilizava a versão 4.*, então precisei killar o processo de forma mais "bruta" diretamente utilizando o comando kill

 

Antes de ser killado:

 

[root@hosted-by /]# ntpdc -c monlist 108.61.*.*
remote address          port local address      count m ver code avgint  lstint
===============================================================================
hosted-by.carbonhost.c 46796 108.61.*.*           3 7 2    580     11       0
dhcp-077-249-172-138.c    80 108.61.*.*          25 7 2    580     30       2
oss.net1.net            8080 108.61.*.*          51 7 2    580      7       2
server2.allsitecontrol    80 108.61.*.*          51 7 2    580      7       2
cpc11-sotn9-2-0-cust32    80 108.61.*.*          50 7 2    580      7       2
b151c720.virtua.com.br    80 108.61.*.*          22 7 2    580     37       4
cu.comp-unltd.com       8080 108.61.*.*          71 7 2    580      6       4
6bewy3w.ni.net.tr       9987 108.61.*.*          19 7 2    580      7       9
221.23.117.89.static.l    80 108.61.*.*          54 7 2    580      7      11
23.91.115.229-static.r    80 108.61.*.*           2 7 2    580     15      11
alpha.thebouncer.eu     6667 108.61.*.*          53 7 2    580      9      13
squid150.pusd.org         80 108.61.*.*          36 7 2    580      9      18
ks4010633.ip-192-99-1. 25565 108.61.*.*          29 7 2    580     12      23
212-83-131-148.rev.pon 25587 108.61.*.*           9 7 2    580     16      27
host109-145-64-120.ran  3074 108.61.*.*           4 7 2    580      8     100
189.1.169.136          27035 108.61.*.*          55 7 2    580      6     132
108-194-214-49.lightsp    80 108.61.*.*          10 7 2    580     10     159
5.134.115.50              53 108.61.*.*          11 7 2    580     16     174
32.29.208.46.dyn.plus.    80 108.61.*.*          14 7 2    580     26     196
109.103.248.68            80 108.61.*.*          32 7 2    580      8     251
97-117-249-190.phnx.qw    80 108.61.*.*           4 7 2    580     11     278
200-98-64-216.clouduol    80 108.61.*.*           6 7 2    580     13     291
02d939bf.bb.sky.com       80 108.61.*.*           2 7 2    580      0     307
service.playstation.ne    80 108.61.*.*           5 7 2    580     18     326
99-106-138-163.lightsp    80 108.61.*.*           2 7 2    580     22     327
host-77-243-99-53.star   137 108.61.*.*          12 7 2    580     10     357
99-1-38-165.lightspeed  3074 108.61.*.*           1 7 2    580      0     397
c-50-158-149-30.hsd1.i    80 108.61.*.*           1 7 2    580      0     417
201-51-115-254.user.ve    80 108.61.*.*           5 7 2    580     19     427
static-30-241-132-188.  9987 108.61.*.*          16 7 2    580      8     453
ANantes-656-1-232-25.w    80 108.61.*.*           2 7 2    580      1     544
 
Depois de ser killado:
 
[root@hosted-by /]# ntpdc -c monlist 108.61.*.*
ntpdc: read: Connection refused
 
Vamos lá então.
 
Digite o seguinte comando no acesso SHELL do servidor ESXi:
 
ps -aux | grep "ntp" 
 
/etc # ps -aux | grep "ntp"
41954041 41954041 ntpd                 ntpd
 
41954041 é o valor do PID
 
então basta killar o processo usando " kill 41954041 " 
 
 
 
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?