[GTER] NTP como amplificador de ataques

Antonio M. Moreiras moreiras at nic.br
Tue Jan 14 19:30:16 -02 2014


Estou aqui tentando entender se isso realmente faz sentido (me refiro
aos filtros nos roteadores).

As queries usadas nos DoS via NTP não são as queries de tempo, ou seja,
não são as consultas NTP em si. Essas tem um número igual de bytes na
ida e na volta, praticamente.

As queries usadas nos ataques são consultas de monitoração. Em
particular a que é gerada por "ntpdc -c monlist", que com meia dúzia de
bytes na consulta, tem um livro inteiro na resposta.

Eu *não tenho certeza* se roteadores, como juniper, cisco e mikrotik
respondem a esse tipo de consulta "perigosa"... Alguém sabe com certeza?
Me parece que não... Se eu estou certo nesse ponto, não há nada de ruim
em bloquear as consultas NTP se o seu roteador não tem o objetivo de ser
um servidor NTP público. Aliás, isso vale pra qualquer serviço que não é
utilizado. Mas também não é necessária nenhuma caça às bruxas.

Quem tem que acertar a versão e configuração é quem usa o "ntpd", a
implementação de referência do NTP (rodando em linux, bsds, windows, etc).

[]s
Moreiras.


On 14/01/14 18:15, Eduardo Schoedler wrote:
> Sobre o JunOS, achei essa sugestão do Team Cymru [1]:
> 
> from {
>     source-address {
>         0.0.0.0/0;
>         /* NTP server to get time from */
>         192.0.2.1/32 except;
>     }
>     protocol udp;
>     port ntp;
> }
> then {
>     discard;
> }
> 
> 
> Referência:
> [1] http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
> 
> att,
> 
> --
> Eduardo Schoedler
> 
> 
> 
> Em 14 de janeiro de 2014 18:12, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 
>> Pessoal, um dos ataques mais recentes acontecendo na Internet é o de
>> amplificação via NTP, aproveitando de características que o NTP herdava dos
>> tempos ingênuos do começo da Internet. Para saber se você tem algum máquina
>> com problema, verifique o site
>> http://openntpproject.org/
>>
>> Segue como fazer para resolver isso, numa sugestão da sempre pontual equipe
>> do ntp.br:
>>
>> ----------------------------------
>>
>> Sugestões (bastante restritivas para máquinas que são apenas clientes e
>> não servidores ntp):
>>
>> - use a última versão estável: 4.2.6p5 (compile à partir do cod. fonte)
>> - use a seguinte conf (os pontos chave são retirar qualquer linha
>> "limited", acrescentar "noquery" ou "ignore" à clausula "restrict
>> default", acrescentar "disable monitor"):
>>
>> # opcional (sincroniza mais rapido quando desliga/liga):
>> # "memoria" para o desvio de frequencia do computador
>> # pode ser necessario criar esse arquivo manualmente com
>> # o comando touch ntp.drift
>> driftfile /etc/ntp.drift
>>
>> # opcional:
>> # estatisticas do ntp que permitem verificar o historico
>> # de funcionamento e gerar graficos
>> statsdir /var/log/ntpstats/
>> statistics loopstats peerstats clockstats
>> filegen loopstats file loopstats type day enable
>> filegen peerstats file peerstats type day enable
>> filegen clockstats file clockstats type day enable
>>
>> # servidores publicos do projeto ntp.br
>> server a.st1.ntp.br iburst
>> server b.st1.ntp.br iburst
>> server c.st1.ntp.br iburst
>> server d.st1.ntp.br iburst
>> server gps.ntp.br iburst
>> server a.ntp.br iburst
>> server b.ntp.br iburst
>> server c.ntp.br iburst
>>
>> # configuracoes de restricao de acesso para todos
>> # permite consultas de tempo ainda, mas bloqueia tudo mais
>> # se quiser bloquear consultas de tempo, use o firewall
>> restrict default noquery notrap nomodify nopeer
>> restrict -6 default noquery notrap nomodify nopeer
>>
>> # configuracoes de restricao de acesso para
>> # seu próprio host, permite queries
>> restrict 127.0.0.1 notrap nomodify nopeer
>> restrict -6 ::1 notrap nomodify nopeer
>>
>> # desabilitar comando monlist (usado em ataques DDoS)
>> disable monitor
>>



More information about the gter mailing list