[GTER] NTP como amplificador de ataques

Rubens Kuhl rubensk at gmail.com
Tue Jan 14 20:06:10 -02 2014


2014/1/14 Antonio M. Moreiras <moreiras at nic.br>

> Estou aqui tentando entender se isso realmente faz sentido (me refiro
> aos filtros nos roteadores).
>
> As queries usadas nos DoS via NTP não são as queries de tempo, ou seja,
> não são as consultas NTP em si. Essas tem um número igual de bytes na
> ida e na volta, praticamente.
>
> As queries usadas nos ataques são consultas de monitoração. Em
> particular a que é gerada por "ntpdc -c monlist", que com meia dúzia de
> bytes na consulta, tem um livro inteiro na resposta.
>


E um script um pouco mais esperto faz parsing desses IPs, e usa para gerar
mais amplificações pois esses IPs são de alguma coisa que também sabe
NTP...


>
> Eu *não tenho certeza* se roteadores, como juniper, cisco e mikrotik
> respondem a esse tipo de consulta "perigosa"... Alguém sabe com certeza?
> Me parece que não... Se eu estou certo nesse ponto, não há nada de ruim
> em bloquear as consultas NTP se o seu roteador não tem o objetivo de ser
> um servidor NTP público. Aliás, isso vale pra qualquer serviço que não é
> utilizado. Mas também não é necessária nenhuma caça às bruxas.
>

JunOS responde sim, confirmado pelo Eduardo Schoedler. Os outros eu não
sei.


Rubens



More information about the gter mailing list