IPTables에서 NTP 반영 공격 처리


16

우리는 함께 배치 된 서버에서 NTP 반사 / 증폭 공격 을 처리하고 있습니다. 이 질문은 NTP 리플렉션 공격에 대한 응답이며 일반적으로 DDoS에 관한 것이 아닙니다.

트래픽은 다음과 같습니다.

라우터 네트워크 트래픽 그래프

라우터에서 약간의 CPU를 사용 중입니다.

라우터 CPU 사용량 그래프

불행히도 업스트림 제공 업체가 트래픽을 블랙홀로 만들 정도로 충분히 크지 않기 때문에 트래픽이 우리에게 전달되고 있습니다.

포트 123에서 발생하는 NTP 트래픽을 차단하기 위해 다음 규칙을 사용했습니다.

-p udp --sport 123 -j DROP

이것이 IPTables 의 첫 번째 규칙입니다.

많이 검색했는데 NTTable 반영 공격을 완화하기 위해 IPTables를 사용하는 방법에 대한 정보를 많이 찾을 수 없습니다. 그리고 거기에있는 정보 중 일부는 부정확 한 것으로 보입니다. 이 IPTables 규칙이 맞습니까? 업스트림 네트워크 공급자에게 연락하는 것 외에 NTP 반사 / 증폭 공격을 완화하기 위해 추가하거나 수행 할 수있는 다른 것이 있습니까?

또한 : 이러한 공격자는 네트워크를 사용해야합니다.

  • 패킷에서 IP 주소 스푸핑 허용
  • 2010 NTP 코드 경 패치되지 않은

이러한 IP 주소를보고하여 스푸핑 된 패킷 허용을 중지하고 NTP 서버를 패치 할 수 있도록 글로벌 정보 센터가 있습니까?


10
예, iptables 규칙은 정확하지만 서버의 파이프 끝에서 패킷 필터를 실행해도 파이프가 가득 차는 것을 막을 수는 없습니다. 자세한 내용은 serverfault.com/questions/531941/i-am- under-ddos-what-can-i-do
HBruijn

답변:


20

기본적으로 DDoS 공격이 인터넷에있는 모든 파이프를 채우게되면 (이는 UDP 리플렉션 공격의 목적인 파이프를 채우는 것) 운이 좋지 않습니다. 업스트림 링크가 1Gbps의 트래픽을 차지할 수 있고 링크를 내려가는 데 총 2Gbps의 트래픽이있는 경우, 그 중 절반은 라우터 또는 스위치에 의해 패킷을 링크 아래로 내리는 링크에 의해 삭제됩니다. 공격자는 공격 트래픽의 절반이 손실되는 것을 신경 쓰지 않지만 고객은 다음을 수행합니다. TCP 연결에서 50 %의 패킷 손실 이 이러한 연결의 성능과 안정성에있어 끔찍하고 끔찍한 일을합니다.

체적 DDoS 공격을 막는 방법 은 가지 뿐입니다 .

  1. 공격 트래픽이 채우지 않을만큼 충분히 큰 파이프를 확보하십시오.
  2. 파이프로 내려 가기 전에 공격 패킷을 중지하십시오.
  3. NTP 반영 공격을받지 않는 다른 IP 주소로 전환하십시오.

iptables에서 차단하면 쪼그리고 앉을 수 없습니다. 공격 트래픽이 이미 합법적 인 트래픽을 짜내서 바닥에 떨어 뜨려 공격자가 이겼 기 때문입니다. (아마도) 당신이 공격 트래픽을 전달하는 업스트림 라우터 나 스위치를 제어하지 않기 때문에, 그래, 당신은 당신의 업스트림 네트워크 제공 업체에 연락해야하고는 않습니다가 뭔가 네트워크에 도달 공격 트래픽을 중지를 링크 여부

  • 공격 포트의 모든 트래픽 차단 (대부분의 ISP가 콜로 고객 액세스 라우터에서 기꺼이하지 않는 경우 $REASONS)

  • 공격의 소스 IP 주소를 필터링합니다 (S / RTBH를 사용하는 것이 더 타당하지만 모든 제공 업체가 이미 사용할 수있는 것은 아님)

  • 최악의 경우 대상 IP 주소를 블랙홀

IP를 블랙홀하는 것은 계속 작동 할 수있는 다른 IP 주소가있는 경우에만 작동합니다. 공급자가 유일한 IP 주소를 블랙홀로 만들면 인터넷을 사용하지 않기 때문에 공격자가 성공한 것입니다. 처음에.


ISP가 트래픽을 차단하고 싶지 않은 이유가 있습니까?
André Borie

4
많은 이유가 있습니다. 1. ISP는 트래픽을 차단하는 것이 아니라 트래픽을 제공하기 위해 돈을받습니다. 2. 고급 네트워킹 장비 만이 대규모 (100G +) 트래픽 양에 대해 회선 속도 검사를 수행 할 수 있으며 비용이 많이 듭니다. 3. 고객 요청에서 코어 라우터의 구성 라인으로 이동하는 것은 쉬운 일이 아닙니다.
womble

5

ISP에 파이프가 있다고 가정하고 라우터 / 방화벽에서 종료합니다. 그런 다음 라우터 / 방화벽 뒤에는 자신의 컴퓨터가 있습니다. ISP는 트래픽을 차단하지 않으므로 직접 처리해야합니다. 라우터 / 방화벽의 트래픽을 차단하여 라우터 / 방화벽의로드를 최소화하면서 그 뒤에있는 머신에 충돌하는 것을 방지하려고합니다.

규칙은 표준 포트의 ntp 서버에서 온 것을 삭제하는 것으로 보입니다. 실제로 ntp를 사용하는 경우 방화벽 규칙에 구멍을 뚫어야 할 수도 있습니다.

방화벽이 연결 추적을 사용하는 경우 (대부분의 경우) "원시"테이블을 사용하여 연결 추적 기계에 도달하기 전에 패킷을 삭제하는 것이 좋습니다.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP


1

NTP 남용 (및 NTP 패치)에 대한 IP를 다음과 같이보고 할 수 있습니다.

http://openntpproject.org/

스푸핑 된 IP를 허용하는보고 네트워크에 대해서는 많이 찾을 수 없습니다 .

우리의 측정 결과 스푸핑은 여전히 ​​우리가 조사한 자율 시스템과 넷 블록의 약 25 %에서 널리 퍼져 있습니다. 더 중요한 것은 스푸핑 된 트래픽의 단일 진입 점이 공격자에게 스푸핑 된 트래픽을 전체 인터넷으로 보낼 수있는 수단을 제공한다는 것입니다. ISP는 아웃 바운드 트래픽이 스푸핑되지 않도록 필터링 [RFC2827]을 사용할 수 있습니다.

아마도 유일한 방법은 ISP에 직접 연락하는 것입니까?

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.