NTP DDoS Attack on Home Server

17

Dopo che alcuni stupidi script kiddies hanno scoperto questo exploit o il metodo DDoS, lo hanno fatto come un matto per siti Web, server di gioco e ora i miei server domestici che mi consentono di lavorare su alcuni siti Web dei miei clienti e diversi progetti per le persone. Il mio ISP mi sta chiamando, lamentandosi di questo e di come sta consumando molta della loro larghezza di banda. Si lamentano che interromperanno il mio servizio di business plan se non si fermerà.

Inoltre, tutti i miei server di casa eseguono Fedora 17, PHP 5.5, Apache 2.6, MySQL 5.5.

Come posso applicare patch o bloccare questo metodo di attacco?

    
posta 23.04.2014 - 06:28
fonte

3 risposte

28

Come soluzione immediata, spegnere il servizio NTP fino a quando non è possibile ottenerlo correttamente. L'orologio del tuo computer non (o almeno, non dovrebbe ) andare alla deriva troppo in un giorno o due. Continuerai a visualizzare le richieste in arrivo, ma il tuo server non invierà risposte, pertanto il livello complessivo del traffico dovrebbe diminuire del 90% o più.

Dato che stai utilizzando un server domestico, probabilmente non stai fornendo servizi NTP pubblici. In questo caso, proteggere le cose è facile. È possibile bloccare tutto il traffico in entrata alla porta UDP 123 del firewall, oppure è possibile utilizzare il modello "UNIX ntpd" qui per configurare ntpd per ignorare le richieste in arrivo o (meglio) per entrambe.

    
risposta data 23.04.2014 - 09:53
fonte
10

NTP ha uno dei più alti requisiti per il rapporto di dimensioni di risposta, è su UDP, e come tale è altamente preferito come metodo per gli attacchi di amplificazione del mirroring del DNS. Il Cloudfare è stato recentemente l'obiettivo del più grande attacco di questo tipo che ha superato i 400 Gb / s. Hanno fatto un buon resoconto su cosa vuol dire essere sul lato ricevente di questo attacco e su come gli amministratori dei server possono mitigarlo. Controlla qui gli articoli (assicurati di controllare i commenti):

link

link

    
risposta data 23.04.2014 - 08:01
fonte
5

Una delle cose che puoi fare in aggiunta alle altre risposte è contattare la polizia - dove vivo, DDoS è altrettanto grave quanto il vandalismo ed è punibile con il carcere e / o altre sanzioni. Script kiddies o no, qui la polizia può richiedere informazioni sul traffico dall'ISP, se si tratta di uno script kiddie quindi è facile, attaccano principalmente dalla rete domestica dei genitori, e se non lo sono e utilizza proxy o botnet puoi essere assicurato che non mandino idioti dopo di esso.

Ovviamente quando si verifica l'attacco non dimenticare di disconnettere qualsiasi apparecchiatura fornisca la connessione di rete al tuo server.

    
risposta data 23.04.2014 - 12:09
fonte

Leggi altre domande sui tag