[GTER] NTP como amplificador de ataques

Guilherme Boing kolt at frag.com.br
Tue Jan 14 18:19:46 -02 2014 

Tem algum comparativo do poder de ataque utilizando-se de DNS e NTP ?

Servidores de NTP na internet acredito que são minoria quando comparados
com a quantidade de servidores de DNS.


2014/1/14 Rubens Kuhl <rubensk at gmail.com>

> Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
> amplificação via NTP, aproveitando de características que o NTP herdava dos
> tempos ingênuos do começo da Internet. Para saber se você tem algum máquina
> com problema, verifique o site
> http://openntpproject.org/
>
> Segue como fazer para resolver isso, numa sugestão da sempre pontual equipe
> do ntp.br:
>
> ----------------------------------
>
> Sugestões (bastante restritivas para máquinas que são apenas clientes e
> não servidores ntp):
>
> - use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
> - use a seguinte conf (os pontos chave são retirar qualquer linha
> "limited", acrescentar "noquery" ou "ignore" à clausula "restrict
> default", acrescentar "disable monitor"):
>
> # opcional (sincroniza mais rapido quando desliga/liga):
> # "memoria" para o desvio de frequencia do computador
> # pode ser necessario criar esse arquivo manualmente com
> # o comando touch ntp.drift
> driftfile /etc/ntp.drift
>
> # opcional:
> # estatisticas do ntp que permitem verificar o historico
> # de funcionamento e gerar graficos
> statsdir /var/log/ntpstats/
> statistics loopstats peerstats clockstats
> filegen loopstats file loopstats type day enable
> filegen peerstats file peerstats type day enable
> filegen clockstats file clockstats type day enable
>
> # servidores publicos do projeto ntp.br
> server a.st1.ntp.br iburst
> server b.st1.ntp.br iburst
> server c.st1.ntp.br iburst
> server d.st1.ntp.br iburst
> server gps.ntp.br iburst
> server a.ntp.br iburst
> server b.ntp.br iburst
> server c.ntp.br iburst
>
> # configuracoes de restricao de acesso para todos
> # permite consultas de tempo ainda, mas bloqueia tudo mais
> # se quiser bloquear consultas de tempo, use o firewall
> restrict default noquery notrap nomodify nopeer
> restrict -6 default noquery notrap nomodify nopeer
>
> # configuracoes de restricao de acesso para
> # seu próprio host, permite queries
> restrict 127.0.0.1 notrap nomodify nopeer
> restrict -6 ::1 notrap nomodify nopeer
>
> # desabilitar comando monlist (usado em ataques DDoS)
> disable monitor
>
> --------------
>
> Uma pessoa com quem comentei isso achou um JunOS com NTP aberto, o que
> indica falta de firewall-filter na lo0 para filtrar acessos ao plano de
> controle... alguém tem uma sugestão de firewall-filter para este caso ?
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list