asterisk.ru

Информация ниже является актуальной для тех Астерисков, которые смотрят в мир. Все готовые дистрибутивы Астериск являются также серверами NTP, для синхронизации с часами на ИП телефонах, биллингом, и пр.

Компьютерная команда экстренной готовности США (US-CERT) опубликовала предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.

Ранее подобные атаки как правило проводились c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа во много раз превышает исходный запрос (на загруженных серверах на запрос в 234 байт возвращается ответ в 48 Кб), что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы. Проблему усугубляет то, что команда monlist выполняется без аутентификации.

Проблеме подвержены все версии ntpd до 4.2.7p25 включительно, в выпуске 4.2.7p26 поддержка команды monlist была отключена. В качестве меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется запретить выполнение команды мониторинга через директиву "disable monitor" или все команды выдачи статистики через опцию "noquery" в секции "restrict default" в ntp.conf. Также можно ограничить доступ к сервису NTP для внешних сетей или использовать модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновление с устранением уязвимости (CVE-2013-5211) уже выпущено для FreeBSD. Проверить наличие уязвимости в сервере можно выполнив "/usr/sbin/ntpdc ip_сервера" и введя команду "monlist".

http://www.opennet.ru/opennews/art.shtml?num=38855

Дед, спасибо зо инфу

А я такое словил

Интересно ntp кошачий подвержен? Еще там вроде tftp кошкин под угрозой.
Точнее это целый комлекс атак из серии "UDP reflection atack"

Кстати, наливали мне по 50 гигов в час, выливалось в 150гигов, но сия лафа длилась не долго - ipfw и опа

Проверить подвержен ли ntp кошачий просто
ntpdc ip_addr_cisco
ntpdc> monlist

В продолжение темы:
12.02.2014
"На Cloudflare идет крупнейшая DDoS-атака с NTP-отражением на 400 Гбит/с
Одна из ведущих компаний по защите от DDoS-атак Cloudflare уже несколько дней сражается с DDoS’ом рекордной силы. В понедельник поток UDP-флуда достиг 400 Гбит/с. Это абсолютный рекорд в истории DDoS-атак и примерно на 33% больше, чем атака прошлого года на Spamhaus в 300 Гбит/с, которая даже вызвала появление заторов в отдельных сегментах интернета. Впрочем, российские специалисты тогда говорили, что для них подобные атаки не в новинку, мол, в Рунете временами происходит еще более брутальный террор.

Как и в 2013 году, сейчас для DDoS используются новейшие методы. В прошлом году модными были атаки с умножением запросов через открытые DNS-резолверы. К этим неправильно сконфигурируемым серверам отправляются маленькие запросы с обратным IP-адресом жертвы. Серверы отвечают на указанный адрес UDP-пакетами в десятки раз большего размера, чем запрос. Например, на запрос ANY в 64 байта следует ответ в 3,2 килобайта.

В такой атаке важно иметь как можно больше подконтрольных серверов (генераторов первой ступени), с которых отправляются запросы на DNS-резолверы. Российский специалист Александр Лямин из компании Highload Lab в интервью журналу «Хакер» в прошлом году сказал, что вместо DNS-резолверов генераторами второй ступени «могут выступать и другие UDP-сервисы, например, NTP». Его слова оказались пророческими.

В эти дни Cloudflare отражает рекордную атаку, пытаясь фильтровать трафик от тысяч NTP-серверов. Судя по статистике Symantec, всплеск DDoS-атак через Network Time Protocol произошел в декабре 2013 года. Атака через серверы NTP идет так же, как через DNS-резолверы, но с использованием команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Таким образом, на запрос в 234 байта сервер высылает жертве UDP-пакеты общим объемом до 48 килобайт. Умножение трафика в 204 раза!

Для закрытия уязвимости с monlist владельцам NTP-серверов следует обновиться до версии 4.2.7.

http://www.xakep.ru/post/62039/

Главное, не показывать всё это Милонову и Мизулиной, а то "дотянутся" и запретят udp в "одной отдельно взятой стране"

добавляем noquery в ntpd.conf и можно не обновляться ... актуально для доисторический инсталляций

Модифицированный /etc/ntp.conf для FreePBX Distro Просьба к знающим гражданам поправить если ошибся.

закрыть фаерфолом и не морочится.

ys1797 писал(а):Интересно ntp кошачий подвержен?

Подвержены все ССМ и CUCM кроме самого последнего. Оказывается он сам запускается, даже если остановлен. А в менеджменте Service ability даже нет возможности Start | Stop | Restart