| |
Компания CloudFlare зафиксировала одну из самых крупных DDoS-атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100 Гбит/с больше, чем в результате прошлогодней атаки на Spamhaus.org. Почти в то же время c атакой с интенсивностью в 350 Гбит/с столкнулся французский хостинг-оператор OVH.
Атаки были организованы с использованием техники усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массированных атак. Проверить свой NTP-сервис на уязвимость можно на сайте проекта OpenNTP.
Дополнение: Опубликована более подробная характеристика атаки. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.
Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.
|
|
- Главная ссылка к новости (http://threatpost.com/ntp-amplification-...)
- OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
- OpenNews: DNS серверы в роли сети для DDoS атак
- OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
- OpenNews: На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака
- OpenNews: Оценка методов усиления трафика при организации DDoS-атак
| Тип: Проблемы безопасности | Ключевые слова: ddos, ntp, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
1.1, EuPhobos, 23:50, 12/02/2014 [ответить] [смотреть все]
| +14 +/– |
> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
Одни ленивые админы делают проблемы другим админам.
|
| |
|
6.40, Demo, 14:05, 13/02/2014 [^] [ответить] [смотреть все] | –1 +/– |
> такое отношение называется "симметричность", а не "транзитивность".
Скорее, коммутативность.
| | |
| 3.33, Нанобот, 11:14, 13/02/2014 [ ^] [ ответить] [ смотреть все] +/–по прежнему актуально но кроме здравомыслящих админов ещё существуют админы-ист... весь текст скрыт [ показать] 3.45, Аноним, 15:47, 13/02/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Если это приводит к проблемам у других людей - гнать таких админов взашей, с вол... весь текст скрыт [ показать] 2.42, Demo, 14:11, 13/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
>> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
> Одни ленивые админы делают проблемы другим админам.
На работе — да, можно и обновить, и то, после нагоняя от начальства за нереагирование на абузы. А дома — лениво. Хотя дома у меня OpenNTPd. Он не затронут этой фичей (не могу назвать ни багом, ни уязвимостью, ибо бай дизайн).
2.66, svd, 04:43, 14/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
Дистрибутивы поставляют стабильные версии ntpd:
Tarballs Stable: 4.2.6p5 2011/12/24
Dev.: 4.2.7p421 2014/02/10
(с сайта http://www.ntp.org/)
Т.е.пока они сами не выпустят 4.2.8 Tarballs Stable ничего не изменится!
1.3, Perain, 23:57, 12/02/2014 [ответить] [смотреть все] +18 +/–
Давно пора спамхаус уничтожить
|
|
|
Часть нити удалена модератором |
7.50, Аноним, 15:59, 13/02/2014 [^] [ответить] [смотреть все] | –1 +/– | Методы работы спамхауса метко описываются фразой ядерный взрыв уничтожает вреди... весь текст скрыт [ показать] | | |
|
| 5.46, Аноним, 15:48, 13/02/2014 [ ^] [ ответить] [ смотреть все] –1 +/–А всех, кого угораздило туда попасть, с поводом и без Обычное такое вымогательс... весь текст скрыт [ показать] |
6.68, Добрый доктор, 11:13, 14/02/2014 [^] [ответить] [смотреть все] | +1 +/– |
>> И кого они рэкети?
> А всех, кого угораздило туда попасть, с поводом и без. Обычное такое
> вымогательство.
Не лги, грязный преступный спамер.
Растоптать бы сапогом твою харю....
| | | 4.17, Аноним, 03:28, 13/02/2014 [ ^] [ ответить] [ смотреть все] –4 +/–не было бы спаммеров - не было бы спамхауза не было бы спамхауза - не было бы р... весь текст скрыт [ показать] 7.39, vvi, 13:49, 13/02/2014 [ ^] [ ответить] [ смотреть все] +1 +/–
> И ссылка есть? Брехня ведь?
К сожалению не брехня. Лично сталкивался.
Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера, которая развёрнута в одном из крупных датацентров Москвы. И это при том, что комплейны были всего на пару десятков адресов.
|
8.69, Добрый доктор, 11:14, 14/02/2014 [^] [ответить] [смотреть все] | +/– |
>> И ссылка есть? Брехня ведь?
> К сожалению не брехня. Лично сталкивался.
> Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера,
> которая развёрнута в одном из крупных датацентров Москвы. И это при
> том, что комплейны были всего на пару десятков адресов.
И очень правильно сделали.
| | | 7.49, Аноним, 15:54, 13/02/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контор... весь текст скрыт [ показать] |
8.70, Добрый доктор, 11:16, 14/02/2014 [^] [ответить] [смотреть все] | +/– |
>> И ссылка есть? Брехня ведь?
> Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма
> мерзкая контора, которым хочется дать в бубен не меньше чем самим
> спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще
> и деньги вымогают.
Блеклистит НЕ спамхауз.
Блеклистят АДМИНЫ ЛОКАЛЬНЫХ СИСТЕМ, которые не желают получать спам.
Недоступно пониманию?
| | | 7.58, Perain, 20:07, 13/02/2014 [ ^] [ ответить] [ смотреть все] +2 +/–Цитирую Товарищ Капитан Спамхаус не имеет отношения ни к закону, ни к здравому ... весь текст скрыт [ показать] 8.77, nuclearcat, 16:11, 14/02/2014 [ ^] [ ответить] [ смотреть все] [ к модератору] +/–
Кого колышат контракты РТКомм и российское законодательство вообще?
Так можно до пришествия отмазываться контрактами, законами и прочими "ну вы понимаете".
А спам будет идти.
Поэтому сейчас хостеры боятся спамхауса как огня, и пишут в контракте - не делайте ничего, что внесет нас в спамхаус, отключим мгновенно. И правильно, ибо эти уродцы будут отмазываться до последнего, им копейка своего клиента ближе, чем проблемы со спамом у других людей.
5.47, Аноним, 15:49, 13/02/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Мораль спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том ч... весь текст скрыт [ показать] 2.20, Этот самый Анонимус, 04:18, 13/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +2 +/– |
3.72, Добрый доктор, 11:24, 14/02/2014 [^] [ответить] [смотреть все] | +/– |
> спамхаус должен быть разрушен как Вавилон
Для тупых? И еще тупее?
Спамхаус не прописывается сам в конфигах МТА?
Его туда самостоятельно вносят МИЛЛИОНЫ ПОЛЬЗОВАТЕЛЕЙ ?
Разбить бы спамерам щи кирпичом.
| | |
1.7, Аноним, 00:56, 13/02/2014 [ответить] [смотреть все] +1 +/–Без картинок как-то неубедительно 8230 ... весь текст скрыт [ показать]
1.9, Аноним, 01:22, 13/02/2014 [ответить] [смотреть все] +2 +/–В Ъ-стабильных системах не обновляются не только фичи, но и баги Старый баг - л... весь текст скрыт [ показать]
2.15, SAF0001, 03:01, 13/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +2 +/– Автоматическое обновление - реальное зло Достаточно большой шанс, после очере... весь текст скрыт [ показать] [ показать ветку] 3.28, uk, 08:42, 13/02/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Вы не совсем понимаете суть процесса Это не атака на исчерпание ресурсов серве... весь текст скрыт [ показать] 3.29, Аноним, 09:04, 13/02/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Ну, тут некоторые любят говорить, что линух типа не венда, поставил и забыл В... весь текст скрыт [ показать] 4.48, Аноним, 15:51, 13/02/2014 [ ^] [ ответить] [ смотреть все] +/–Бывает, увы Потом оказывается что т к это не дыра в собственной безопасности -... весь текст скрыт [ показать] 3.54, Аноним, 16:22, 13/02/2014 [ ^] [ ответить] [ смотреть все] +/–Проблема в том что это не слишком большое число конектов а слишком дофига траффи... весь текст скрыт [ показать]
1.13, Аноним, 01:52, 13/02/2014 [ответить] [смотреть все] +1 +/–Тренируются пока ... весь текст скрыт [ показать]
1.18, Аноним, 03:31, 13/02/2014 [ответить] [смотреть все] +1 +/–настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, чт... весь текст скрыт [ показать]
1.19, DwarfPool, 03:47, 13/02/2014 [ответить] [смотреть все] +/–
Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.
1.21, undead, 05:01, 13/02/2014 [ответить] [смотреть все] –1 +/–
+ за cloudflare
1.35, Аноним, 11:45, 13/02/2014 [ответить] [смотреть все] +/–Рекомендую посмотреть http www team-cymru org ReadingRoom Templates secure-nt... весь текст скрыт [ показать]
1.41, Аноним, 14:06, 13/02/2014 [ответить] [смотреть все] +1 +/–Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в... весь текст скрыт [ показать]
1.65, Аноним, 22:46, 13/02/2014 [ответить] [смотреть все] +/– нетелепаты обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack кото... весь текст скрыт [ показать]
|
|
4.76, Forth, 15:09, 14/02/2014 [^] [ответить] [смотреть все] [к модератору] | +/– |
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -j DROP
> не ??
Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей. Сколько пролезло нужного трафика? А сколько не пролезло? Какой толк от файрвола, если до него нужный трафик не дошел?
| | |
Ваш комментарий
Read more |