[GTER] NTP como amplificador de ataques

Eduardo Bastos elbastos at gmail.com
Tue Jan 14 18:29:34 -02 2014


Pessoal,

Dêem uma olhada em:

http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

Eduardo Bastos



Em 14 de janeiro de 2014 18:19, Guilherme Boing <kolt at frag.com.br> escreveu:

> Tem algum comparativo do poder de ataque utilizando-se de DNS e NTP ?
>
> Servidores de NTP na internet acredito que são minoria quando comparados
> com a quantidade de servidores de DNS.
>
>
> 2014/1/14 Rubens Kuhl <rubensk at gmail.com>
>
> > Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
> > amplificação via NTP, aproveitando de características que o NTP herdava
> dos
> > tempos ingênuos do começo da Internet. Para saber se você tem algum
> máquina
> > com problema, verifique o site
> > http://openntpproject.org/
> >
> > Segue como fazer para resolver isso, numa sugestão da sempre pontual
> equipe
> > do ntp.br:
> >
> > ----------------------------------
> >
> > Sugestões (bastante restritivas para máquinas que são apenas clientes e
> > não servidores ntp):
> >
> > - use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
> > - use a seguinte conf (os pontos chave são retirar qualquer linha
> > "limited", acrescentar "noquery" ou "ignore" à clausula "restrict
> > default", acrescentar "disable monitor"):
> >
> > # opcional (sincroniza mais rapido quando desliga/liga):
> > # "memoria" para o desvio de frequencia do computador
> > # pode ser necessario criar esse arquivo manualmente com
> > # o comando touch ntp.drift
> > driftfile /etc/ntp.drift
> >
> > # opcional:
> > # estatisticas do ntp que permitem verificar o historico
> > # de funcionamento e gerar graficos
> > statsdir /var/log/ntpstats/
> > statistics loopstats peerstats clockstats
> > filegen loopstats file loopstats type day enable
> > filegen peerstats file peerstats type day enable
> > filegen clockstats file clockstats type day enable
> >
> > # servidores publicos do projeto ntp.br
> > server a.st1.ntp.br iburst
> > server b.st1.ntp.br iburst
> > server c.st1.ntp.br iburst
> > server d.st1.ntp.br iburst
> > server gps.ntp.br iburst
> > server a.ntp.br iburst
> > server b.ntp.br iburst
> > server c.ntp.br iburst
> >
> > # configuracoes de restricao de acesso para todos
> > # permite consultas de tempo ainda, mas bloqueia tudo mais
> > # se quiser bloquear consultas de tempo, use o firewall
> > restrict default noquery notrap nomodify nopeer
> > restrict -6 default noquery notrap nomodify nopeer
> >
> > # configuracoes de restricao de acesso para
> > # seu próprio host, permite queries
> > restrict 127.0.0.1 notrap nomodify nopeer
> > restrict -6 ::1 notrap nomodify nopeer
> >
> > # desabilitar comando monlist (usado em ataques DDoS)
> > disable monitor
> >
> > --------------
> >
> > Uma pessoa com quem comentei isso achou um JunOS com NTP aberto, o que
> > indica falta de firewall-filter na lo0 para filtrar acessos ao plano de
> > controle... alguém tem uma sugestão de firewall-filter para este caso ?
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list