[GTER] NTP como amplificador de ataques
Rodrigo Pedrosa
rodrigopa.uepb at gmail.com
Wed Jan 15 20:37:30 -02 2014
Senhores, verifiquei que todos os servidores cache mara que gerencio e que
possuo na versão atualizada até a data de hoje (15/01/2014) estão
vulneráveis a ataque amplificação baseados em NTP.
Conforme consulta abaixo:
root at dns2:~# ntpdc -n -c monlist 186.233.xx.xx
remote address port local address count m ver rstr avgint
lstint
===============================================================================
200.160.0.8 123 177.36.5.254 517 4 4 0 941
322
200.189.40.8 123 177.36.5.254 514 4 4 0 947
910
Bloquei o acesso externo a porta 123 protocolo UDP no firewall do Cache
Mara para solucionar o problema até que o suporte da mara Systens corriga o
problema.
Att., Rodrigo pedrosa de Aguiar.
Em 15 de janeiro de 2014 14:10, Alexandre J. Correa (Onda) <
alexandre at onda.net.br> escreveu:
> Comando que voce pode executar para tester servidor remoto é este:
>
> ntpdc -n -c monlist 189.84.0.250
>
> se tiver resposta ... esta 'bugado'.
>
> Em 15/01/2014 11:57, Douglas Fischer escreveu:
>
> Fiz alguns testes com Cisco em LAB, e não consegui reproduzir a
>> amplificação.
>>
>> Mas:
>> - Meu router é velho(2651);
>> - Creio que as linhas de switch-routers(3650/3750/4500/6500), com
>> interface vlan, se comportariam de forma diferente.
>> - Creio que o IOS 15 também teria comportamento diferente.
>>
>> Alguém fez mais algum teste com plataforma Cisco?
>>
>>
>> Em 15 de janeiro de 2014 11:38, Antonio M. Moreiras <moreiras at nic.br
>> >escreveu:
>>
>> On 14/01/14 20:06, Rubens Kuhl wrote:
>>>
>>>> Eu *não tenho certeza* se roteadores, como juniper, cisco e mikrotik
>>>>> respondem a esse tipo de consulta "perigosa"... Alguém sabe com
>>>>> certeza?
>>>>> Me parece que não... Se eu estou certo nesse ponto, não há nada de ruim
>>>>> em bloquear as consultas NTP se o seu roteador não tem o objetivo de
>>>>> ser
>>>>> um servidor NTP público. Aliás, isso vale pra qualquer serviço que não
>>>>> é
>>>>> utilizado. Mas também não é necessária nenhuma caça às bruxas.
>>>>>
>>>>> JunOS responde sim, confirmado pelo Eduardo Schoedler. Os outros eu
>>>> não
>>>> sei.
>>>>
>>>> Interessante isso. Então vamos à caça às bruxas... Vou testar nos
>>> demais, e atualizar as recomendações de configuração no www.ntp.br.
>>>
>>> []s
>>> Moreiras.
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>
>>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Office: +55 34 3351 3077
>
> Onda Internet
> www.onda.net.br
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list