[GTER] NTP como amplificador de ataques
Diogo Montagner
diogo.montagner at gmail.com
Tue Feb 4 20:04:25 -02 2014
Com relação ao JUNOS, a Juniper divulgou um boletim de segurança com as
instruções sobre como mitigar o ataque.
Um sintoma de que o roteador foi ou está sendo alvo de um ataque de
amplificação NTP são as seguintes mensagens no log:
xntpd[7264]: too many recvbufs allocated (40)
xntpd[7264]: too many recvbufs allocated (40)
xntpd[7264]: too many recvbufs allocated (40)
Para mitigar o ataque, você precisa aplicar um filtro de proteção no
tráfego de control-plane do roteador autorizando somente as fontes
confiáveis a enviarem pacotes de NTP para o roteador.
O boletim de segurança é o JSA10613.
[]s
./diogo -montagner
JNCIE-SP 0x41A
2014-01-15 Rubens Kuhl <rubensk at gmail.com>:
> 2014/1/14 Antonio M. Moreiras <moreiras at nic.br>
>
> > Estou aqui tentando entender se isso realmente faz sentido (me refiro
> > aos filtros nos roteadores).
> >
> > As queries usadas nos DoS via NTP não são as queries de tempo, ou seja,
> > não são as consultas NTP em si. Essas tem um número igual de bytes na
> > ida e na volta, praticamente.
> >
> > As queries usadas nos ataques são consultas de monitoração. Em
> > particular a que é gerada por "ntpdc -c monlist", que com meia dúzia de
> > bytes na consulta, tem um livro inteiro na resposta.
> >
>
>
> E um script um pouco mais esperto faz parsing desses IPs, e usa para gerar
> mais amplificações pois esses IPs são de alguma coisa que também sabe
> NTP...
>
>
> >
> > Eu *não tenho certeza* se roteadores, como juniper, cisco e mikrotik
> > respondem a esse tipo de consulta "perigosa"... Alguém sabe com certeza?
> > Me parece que não... Se eu estou certo nesse ponto, não há nada de ruim
> > em bloquear as consultas NTP se o seu roteador não tem o objetivo de ser
> > um servidor NTP público. Aliás, isso vale pra qualquer serviço que não é
> > utilizado. Mas também não é necessária nenhuma caça às bruxas.
> >
>
> JunOS responde sim, confirmado pelo Eduardo Schoedler. Os outros eu não
> sei.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list