[GTER] NTP como amplificador de ataques
Henrique Mattos
henrique at stable.com.br
Fri Jan 17 11:03:57 -02 2014
só acrescentar esse parâmetro na ultima linha do ntp.conf, geralmente esta
em /etc/ntp.conf
disable monitor
o retorno esperado é como o abaixo: timeout ou data not found
henrique at nm0:~$ ntpdc -n -c monlist localhost
localhost: timed out, nothing received
***Request timed out
henrique at nm0:~$ ntpdc -n -c monlist a.ntp.br
***Server reports data not found
*Henrique Mattos*
henrique at stable.com.br
+55 99 8197-7480
+55 99 8806-9500
Em 15 de janeiro de 2014 19:37, Rodrigo Pedrosa
<rodrigopa.uepb at gmail.com>escreveu:
> Senhores, verifiquei que todos os servidores cache mara que gerencio e que
> possuo na versão atualizada até a data de hoje (15/01/2014) estão
> vulneráveis a ataque amplificação baseados em NTP.
> Conforme consulta abaixo:
> root at dns2:~# ntpdc -n -c monlist 186.233.xx.xx
> remote address port local address count m ver rstr avgint
> lstint
>
> ===============================================================================
> 200.160.0.8 123 177.36.5.254 517 4 4 0 941
> 322
> 200.189.40.8 123 177.36.5.254 514 4 4 0 947
> 910
>
>
> Bloquei o acesso externo a porta 123 protocolo UDP no firewall do Cache
> Mara para solucionar o problema até que o suporte da mara Systens corriga o
> problema.
>
> Att., Rodrigo pedrosa de Aguiar.
>
>
> Em 15 de janeiro de 2014 14:10, Alexandre J. Correa (Onda) <
> alexandre at onda.net.br> escreveu:
>
> > Comando que voce pode executar para tester servidor remoto é este:
> >
> > ntpdc -n -c monlist 189.84.0.250
> >
> > se tiver resposta ... esta 'bugado'.
> >
> > Em 15/01/2014 11:57, Douglas Fischer escreveu:
> >
> > Fiz alguns testes com Cisco em LAB, e não consegui reproduzir a
> >> amplificação.
> >>
> >> Mas:
> >> - Meu router é velho(2651);
> >> - Creio que as linhas de switch-routers(3650/3750/4500/6500), com
> >> interface vlan, se comportariam de forma diferente.
> >> - Creio que o IOS 15 também teria comportamento diferente.
> >>
> >> Alguém fez mais algum teste com plataforma Cisco?
> >>
> >>
> >> Em 15 de janeiro de 2014 11:38, Antonio M. Moreiras <moreiras at nic.br
> >> >escreveu:
> >>
> >> On 14/01/14 20:06, Rubens Kuhl wrote:
> >>>
> >>>> Eu *não tenho certeza* se roteadores, como juniper, cisco e mikrotik
> >>>>> respondem a esse tipo de consulta "perigosa"... Alguém sabe com
> >>>>> certeza?
> >>>>> Me parece que não... Se eu estou certo nesse ponto, não há nada de
> ruim
> >>>>> em bloquear as consultas NTP se o seu roteador não tem o objetivo de
> >>>>> ser
> >>>>> um servidor NTP público. Aliás, isso vale pra qualquer serviço que
> não
> >>>>> é
> >>>>> utilizado. Mas também não é necessária nenhuma caça às bruxas.
> >>>>>
> >>>>> JunOS responde sim, confirmado pelo Eduardo Schoedler. Os outros eu
> >>>> não
> >>>> sei.
> >>>>
> >>>> Interessante isso. Então vamos à caça às bruxas... Vou testar nos
> >>> demais, e atualizar as recomendações de configuração no www.ntp.br.
> >>>
> >>> []s
> >>> Moreiras.
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>>
> >>
> >>
> >
> > --
> > Sds.
> >
> > Alexandre Jeronimo Correa
> > Sócio-Administrador
> >
> > Office: +55 34 3351 3077
> >
> > Onda Internet
> > www.onda.net.br
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list