The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Волна DDoS-атак, использующих NTP-серверы для усиления трафика

15.01.2014 11:28

Компьютерная команда экстренной готовности США (US-CERT) опубликовала предупреждение о набирающих силу DDoS-атаках, использующих серверы синхронизации точного времени для многократного усиления трафика. В процессе атаки, запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом.

Ранее подобные атаки как правило проводились c задействованием DNS-серверов для усиления трафика. В новых атаках зафиксирован переход на использование публичных NTP-серверов. Для усиления трафика от имени жертвы (UDP-пакет с подставным IP) на NTP-сервер отправляется запрос на выполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу. В результате размер ответа во много раз превышает исходный запрос (на загруженных серверах на запрос в 234 байт возвращается ответ в 48 Кб), что позволяет многократно усилить объём трафика, генерируемого в сторону системы жертвы. Проблему усугубляет то, что команда monlist выполняется без аутентификации.

Проблеме подвержены все версии ntpd до 4.2.7p25 включительно, в выпуске 4.2.7p26 поддержка команды monlist была отключена. В качестве меры для предотвращения участия NTP-серверов в DDoS-атаках рекомендуется запретить выполнение команды мониторинга через директиву "disable monitor" или все команды выдачи статистики через опцию "noquery" в секции "restrict default" в ntp.conf. Также можно ограничить доступ к сервису NTP для внешних сетей или использовать модифицированные версии ntpd, в которых отключена поддержка команды monlist (достаточно пересобрать ntpd, удалив строку "proto_config(PROTO_MONITOR, 0, 0., NULL);" в файле ntp_config.c). Обновление с устранением уязвимости (CVE-2013-5211) уже выпущено для FreeBSD. Проверить наличие уязвимости в сервере можно выполнив "/usr/sbin/ntpdc ip_сервера" и введя команду "monlist".

  1. Главная ссылка к новости (http://www.us-cert.gov/ncas/al...)
  2. OpenNews: Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак
  3. OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND
  4. OpenNews: Проблемы с безопасностью серверов с IPMI. Бэкдор в системах хранения HP
  5. OpenNews: DNS серверы в роли сети для DDoS атак
  6. OpenNews: На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38855-ddos
Ключевые слова: ddos, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (99) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Саша (??), 11:37, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо проспались админы и заметили что ДДОСят)

    И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от всего мира (в отличие от косоруких бсдшников), да и версия ntpd не замшелая которая без данной уязвимости даже если и сервер времени публичный

     
     
  • 2.3, Анод (?), 11:47, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    О нём сообщали ещё два года назад :)

    http://bugs.ntp.org/show_bug.cgi?id=1532

     
     
  • 3.6, Аноним (-), 11:58, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > О нём сообщали ещё два года назад :)
    > http://bugs.ntp.org/show_bug.cgi?id=1532

    И до сих пор только в экспериментальной ветке ntp исправили, а в стабильной не стали править чтобы совместимость не нарушить.

     
  • 2.127, nagual (ok), 19:36, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Боянище, с нового года уже началось, Хетцнер абузами завалил такие сервера, видимо
    > проспались админы и заметили что ДДОСят)
    > И, кстати, лоханулись только БСДуны, у остальных по дефолту NTP-сервер закрыт от

    Никогда не смоневался что доля бсд серверов более 30% а не как в статистике м$ :)))

     

  • 1.2, Аноним (2), 11:40, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    freebsd оперативно, как всегда
     
     
  • 2.5, Аноним (-), 11:57, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В самом свежем выпуске стабильной ветки ntp 4.2.6 проблема не исправлена. Исправления добавлены только в экспериментальной ветке 4.2.7. Поэтому кто виноват, что бага три года не исправлена остаётся под вопросом.
     
     
  • 3.7, Саша (??), 12:12, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде, приходи, имей ))
    И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
     
     
  • 4.12, knike (?), 12:20, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

    Вот здесь херню гоните.

     
     
  • 5.128, nagual (ok), 19:37, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира
    > Вот здесь херню гоните.

    Он даже не линуксоид ...

     
  • 4.13, Пропатентный тролль (?), 12:31, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В деолтной БЗде нтпд отключен. Если админ его включает - должен думать о последствиях. Или как минимум добросовестно реагировать на такие инциденты.
     
     
  • 5.14, бедный буратино (ok), 12:36, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    what is "дефолтная бздя"?
     
     
  • 6.18, masakra (ok), 12:55, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    cat /etc/defaults/rc.conf | grep ntpd_enable
    ntpd_enable="NO"                # Run ntpd Network Time Protocol (or NO).
     
  • 6.32, Аноним (-), 14:03, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это такой systemd с кучей левых сервисов, от которых никак не избавиться.
     
     
  • 7.113, Гость (?), 16:56, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прекрасный комментарий раскрывающий всю "глубину" твоих познаний. Домашнее задание: поставить фрю, загрузиться в неё и написать сюда список "левых сервисов, от которых никак не избавиться".
     
     
  • 8.124, Аноним (-), 04:01, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Домашнее задание поставить фрю и установить на нее systemd fixed... текст свёрнут, показать
     
  • 6.38, Neus (?), 14:28, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > what is "дефолтная бздя"?

    вот там она
    ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/9.2-RELEASE/
    :)

     
  • 5.36, Аноним (-), 14:10, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > В деолтной БЗде нтпд отключен. Если админ его включает - должен думать
    > о последствиях. Или как минимум добросовестно реагировать на такие инциденты.

    А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
    Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.

     
     
  • 6.44, Пропатентный тролль (?), 15:03, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Юникс позволяет пользователям стрелять себе в ноги. Он такой...
     
     
  • 7.51, Аноним (-), 15:37, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Юникс позволяет пользователям стрелять себе в ноги. Он такой...

    Вполне ожидаемая отмазка.
    Которая не отменяет того факта, что мейнтейнер ntpd во фре - ламер.

     
     
  • 8.129, nagual (ok), 19:38, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А линукс в голову и никто еще не жаловался ... текст свёрнут, показать
     
  • 7.59, Аноним (-), 15:51, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Юникс позволяет пользователям стрелять себе в ноги. Он такой...

    Ага. Если очередной "умный и квалифицированный" мейнтейнер FreeBSD засунет в какой-нибудь init-скрипт команду rm -rf /*, отмазка будет ровно такой же - надо было смотреть, что запускаешь.

     
     
  • 8.130, nagual (ok), 19:39, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это в линуксе такое случилось ... текст свёрнут, показать
     
  • 7.115, Аноним (-), 01:30, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Юникс позволяет пользователям стрелять себе в ноги. Он такой...

    Но в данном случае - на входе установили самострел. И таки подстрелились. Ибо усиление атаки в 200 раз админу на его серваке с дефолтной конфигой - очевидно совсем не любому админу. А сам по себе ntp в сеть вывешивать ничем таким не криминально. Если бы не такая вот странная реализация.

     
  • 6.86, Demo (??), 18:41, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А что мешало поставлять по умолчанию безопасную конфигурацию? Всего две строчки.
    > Никаких реальных причин, кроме ламерства мейнтейнера, придумать не могу. Только отмазки.

    Безопасную — это какую? block all?

     
     
  • 7.101, saNdro (?), 20:03, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    restrict -6 default kod notrap nomodify nopeer noquery
    restrict -4 default kod notrap nomodify nopeer noquery
     
  • 4.19, Аноним (-), 13:04, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

    Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.

     
     
  • 5.57, Аноним (-), 15:45, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable. Нифига себе "недавно"!
     
     
  • 6.88, Demo (??), 18:43, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня restrict noquery блокирует monlist даже в ntpd из Debian oldstable.

    И чем это вам на протяжении всех этих лет помогало?


     
  • 5.68, Аноним (-), 16:41, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Возможность отключения через конфиг добавлена относительно недавно, в ntp из состава FreeBSD таких настроек ещё не было.

    Фигово вы по-английски читаете. Там написано, что относительно недавно (с версии 4.2.7) оно отключено _в исходном коде_, а для более старых версий нужно использовать restrict.

     
  • 4.46, xex (?), 15:14, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так ли, наш великий полиглот?)
     
     
  • 5.52, Аноним (-), 15:39, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
    > ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
    > ли, наш великий полиглот?)

    Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее монолитности.

     
     
  • 6.114, Гость (?), 16:58, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> какой диванный аналитег! Сабж не ставится по-умолчанию, а ставится руками. А если
    >> ты что-то ставишь, то ты, разумеется, знаешь, что делаешь. Не так
    >> ли, наш великий полиглот?)
    > Сабж _ставится_ по умолчанию. Его нельзя выкинуть из базовой системы, ввиду ее
    > монолитности.

    Зато ничто не мешает не запускать сервис из базовой системы, а поставить новую версию или нечто другое из портов.

     
     
  • 7.116, Аноним (-), 01:31, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато ничто не мешает не запускать сервис из базовой системы,

    Ну да, гениально придумано. Валяться будет, но можно не запускать.

     
     
  • 8.125, бедный буратино (ok), 05:31, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    и ситуация срочно понадобилась, но нет гораздо проблемнее, чем есть, но валя... текст свёрнут, показать
     
  • 4.106, bab (?), 03:01, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот тут Вы батенька полную херню несете! Даже если имеется какой то там default конфиг, это файл прежде всего рекомендательного характера, а не руководство к запуску по умолчанию. Прежде чем что то запустить, нужно документацию читать и настраивать все согласно своих нужд, а не поступать по Вашему образу и подобию. Сам Unix не прощает безалаберности и безграмотности, тем и хорош что развивает МОЗГ а не деградирует его! Думать, анализировать и на основе выводов принимать решения - основное отличие человека от остальных биологических организмов в природе.  
     
  • 4.132, Аноним (-), 16:28, 19/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > БСДуны виноваты с дефолтным конфигом который разрешает все, прямо как в винде,
    > приходи, имей ))
    > И "исправление" просто меняет конфиг в котором закрыт доступ для всего мира

    BSD BSD рознь.

     
  • 2.15, Аноним (-), 12:44, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > freebsd оперативно, как всегда

    Какой тонкий сарказм. Ну да, атака лишь пару лет как под внимание ALL попала.

     
  • 2.34, Аноним (-), 14:07, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > freebsd оперативно, как всегда

    Не прошло и двух лет, ага.

     

  • 1.4, бедный буратино (ok), 11:51, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > ыполнение команды MON_GETLIST ("get monlist"), результатом которого является отправка списка 600 последних IP-адресов, с которых были обращения к NTP-серверу

    кстати? а зачем? выяснить, кому ещё скучно в ночь глухую (счастливые часов не наблюдают)? типа сайты знакомств 1970 года?

     
     
  • 2.9, Саша (??), 12:14, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, для дебага например, в 1970 году компьютеры были большие и как-то надо смотреть логи сервиса, сам то он лог обращений вести не умеет
     
     
  • 3.23, Нанобот (ok), 13:22, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, для дебага например, в 1970 году компьютеры были большие и как-то
    > надо смотреть логи сервиса, сам то он лог обращений вести не
    > умеет

    не, 600 последних адресов - это ж 2 кила памяти, в 1970 это было б слишком дорогим удовольствием - расходовать их на такую фичу

     
     
  • 4.64, анон (?), 16:35, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ещё непонятно, почему именно 600
    600 ip хватит всем?
     

  • 1.10, Perain (?), 12:17, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    /etc/ntp.conf

    restrict default ignore
    restrict -6 default ignore


    service ntpd restart

     
     
  • 2.11, Perain (?), 12:19, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    по ipv6 тоже могут юзать dns-recursive ddos
     
     
  • 3.17, Аноним (-), 12:48, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да вообще-то и в IPV4 могут. Усиление атаки при помощи открытых DNS-резольверов это ужасный баян. Однако, там и близко нет такого фактора усиления атаки как в этом случае. Тут в лучшем случае плечо 210 - так мобильник может перефлудить сервак. Просто потому что его усилили в 210 раз.
     
  • 2.50, cvb (??), 15:34, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не использует monlist авторизацию, то есть эти restrict не помогут никак.
     
     
  • 3.54, Аноним (-), 15:40, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не использует monlist авторизацию, то есть эти restrict не помогут никак.

    А у меня почему-то помогает. Наверное, у меня какой-то особенный monlist.

     
  • 3.69, Аноним (-), 16:43, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не использует monlist авторизацию, то есть эти restrict не помогут никак.

    О том, что restrict поможет, прямо и недвусмысленно написано в официальном анонсе (см. ссылку в тексте новости).

     
  • 2.89, Demo (??), 18:46, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > /etc/ntp.conf
    > restrict default ignore
    > restrict -6 default ignore

    Вам станет легче, если вы будете знать, что ваш ntpd не используется для DoS-атаки?

     
     
  • 3.117, Аноним (-), 01:34, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вам станет легче, если вы будете знать, что ваш ntpd не используется
    > для DoS-атаки?

    Да, вы знаете, не очень приятно разгрeбать абузы и выколупываться из блеклистов.

     

  • 1.16, Аноним (-), 12:47, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > на запрос в 234 байт, возвращается ответ в 48 Кб

    Ууу, таким макаром можно с мобилки зафлудить крутейший сервак. Коэффициент усиления атаки в какие-то 210 раз - это вам не хухры-мухры.

     
     
  • 2.25, pavlinux (ok), 13:51, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе купили компьютер.
     
     
  • 3.118, Аноним (-), 01:38, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Поздравляем, что вам на Новый год, за хорошую учёбу в 4-ом классе
    > купили компьютер.

    Ты почти угадал насчет компьютера, но проблема в том что я никогда не учился в 4 классе.

     
     
  • 4.126, Аноним (-), 10:51, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А в каком ты сейчас, в третьем?
     
     
  • 5.135, Аноним (135), 10:37, 06/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не учился в четвертом классе - человек 1977 года рождения.
     

  • 1.24, Анонище (?), 13:51, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > путем отправки UDP-пакетов с подставным обратным адресом.

    IPS не фильтруют SRC IP? Странно.

     
     
  • 2.27, Анонище (?), 13:52, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    s/IPS/ISP/
     
  • 2.28, pavlinux (ok), 13:54, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> путем отправки UDP-пакетов с подставным обратным адресом.
    > IPS не фильтруют SRC IP? Странно.

    Тоже компьютер только купили?  

     
     
  • 3.42, Анонище (?), 14:49, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тоже? Ну , поздравляю тебя, чувак.
     
     
  • 4.77, pavlinux (ok), 17:45, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, там выше ещё один http://www.opennet.ru/openforum/vsluhforumID3/93555.html#16
     
  • 3.87, Пропатентный тролль (?), 18:41, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Человек RPF наверняка имел ввиду, а вы гнобите..
     
     
  • 4.98, anonymous (??), 19:32, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Человек RPF наверняка имел ввиду, а вы гнобите..

    RPF и есть по сути частный случай "фильтрация SRC IP". Наехали на человека абсолютно без повода, вопрос очень правильный был задан.

     
     
  • 5.103, pavlinux (ok), 00:13, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И чё теперь, из-за опеннетовских аналитиков нельзя VPN-бриджы строить?

      

     
  • 2.80, www2 (ok), 18:18, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    SRC-адрес от хоста в Интернете? Ну можно, кончено, зафильтровать. Только тогда клиенты ISP'а смогут только между собой связываться.
     
     
  • 3.96, anonymous (??), 19:22, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если не разбираетесь в вопросе, не комментируйте.
     
  • 2.97, anonymous (??), 19:27, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от провайдера.
     
     
  • 3.100, Анонище (?), 19:35, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Интереснее, от чего зависит У провайдера. :)
     
     
  • 4.133, muff (?), 16:26, 25/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Интереснее, от чего зависит У провайдера. :)

    Магистралы и провайдеры предоставляющие услуги бизнес-абонентам SRC не фильтруют, в связи с тем, что у абонентов может быть несколько аплинков; клиенты со своими блоками IP-адресов, у которых клиенты тоже используют по несколько аплинков... И так до бесконечности.

    Тоесть запрос может прийти к серверу на одну айпишку, а ответ пойдет через другого провайдера, но в SRC будет адрес сервиса, на который пришел запрос. Зафильтровав трафик по SRC, создадим проблемы чуть ли не четверти бизнес-абонентов. Давно уже прошли времена, когда подключали только один канал Интернета. Сейчас деятельность организаций очень зависит от доступа в сеть Интернет, соответственно у многих по несколько аплинков.

     

  • 1.26, Нанобот (ok), 13:51, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать во всём интернете и никто не заметит разницы
     
     
  • 2.90, Demo (??), 18:49, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > кстати, в отличии от spoofed днс, этот трафик можно вообще безболезненно зафильтровать
    > во всём интернете и никто не заметит разницы

    И оставить только 80-й порт TCP.

     

  • 1.29, Аноним (-), 13:54, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Приятно всё-таки осознавать, что развитие интернета не стоит на месте.
     
  • 1.30, Аноним (-), 13:57, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А почему это ntp сервера сливают логи о пользователях первому встречному?
     
     
  • 2.33, Аноним (-), 14:06, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А почему это ntp сервера сливают логи о пользователях первому встречному?

    Потому что в FreeBSD они по умолчанию были настроены именно так.
    Новость, собственно, о том, что это наконец-то закрыли.

     
     
  • 3.91, Demo (??), 18:50, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А почему это ntp сервера сливают логи о пользователях первому встречному?
    > Потому что в FreeBSD они по умолчанию были настроены именно так.

    При чём здесь FreeBSD? Это ошибка в ДНК у создателей ntpd.


     
  • 2.119, Аноним (-), 01:40, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему это ntp сервера сливают логи о пользователях первому встречному?

    Ну как, безопасность и все такое. Вот спрашивает eГоп у сервака - сколько время? Сервак ему - полшестого! А товарищ маойр уже в курсе - ага, такой-то спрашивал сколько времени. Так и запишем!

     

  • 1.31, pavlinux (ok), 14:02, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > результатом которого является отправка списка 600 последних IP-адресов,
    > с которых были обращения к NTP-серверу.

    Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если конечно сервак не stratum 0  

     
     
  • 2.43, shadowcaster (?), 14:56, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    сервак не бывает stratum 0, 0 - это reference clocks.
    сервак минимум stratum 1.
     
     
  • 3.49, pavlinux (ok), 15:27, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > сервак не бывает stratum 0, 0 - это reference clocks.
    > сервак минимум stratum 1.

    Я и говорю, - спутниковая хрень подключенная к /dev/ttyS0

     
     
  • 4.120, Аноним (-), 01:42, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > спутниковая хрень подключенная к /dev/ttyS0

    Наступил 2014 год. Павлин открыл для себя GPS :).

     
  • 2.71, Аноним (-), 16:44, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
    > конечно сервак не stratum 0

    Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в протокол добавили еще один бит?

     
     
  • 3.72, pavlinux (ok), 17:03, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
    >> конечно сервак не stratum 0
    > Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
    > протокол добавили еще один бит?

    Курить RFC два раза в день

    Stratum 0
    These are high-precision timekeeping devices such as atomic (cesium, rubidium) clocks,
    GPS clocks or other radio clocks. They generate a very accurate pulse per second signal
    that triggers an interrupt and timestamp on a connected computer. Stratum 0 devices are
    also known as reference clocks.

     
  • 3.82, www2 (ok), 18:24, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Ваще-то кроме обращений "с которых", там ещё и запросы "к которым", если
    >> конечно сервак не stratum 0
    > Стратум бывает от 1 до 16. Думаешь, специально ради "нулевого стратума" в
    > протокол добавили еще один бит?

    Ну вроде стратум 0 бывает только у источника точного времени, а сервер NTP, который от этого источника синхронизируется, уже должен иметь стратум 1. Так что NTP-серверов со стратум 0 вроде как не бывает.

     
  • 2.62, pavlinux (ok), 16:02, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а тем временем в ядре linux продолжают закрывать remote root...

    Предъява без эксплойта - высер!

     

  • 1.73, Аноним (-), 17:03, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, это связано с тем, что в моей убунточке вчера время спешило на 20 минут?
     
     
  • 2.76, бедный буратино (ok), 17:37, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно, связано. Это из-за тебя, безалаберного, весь мировой интернет поломался. А ты как думал?
     
     
  • 3.78, Аноним (-), 17:46, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не, я имею ввиду не они из-за меня, а я из-за них.
     
     
  • 4.94, Аноним (-), 18:58, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да все вы там друг-друга!
     
  • 2.122, Аноним (-), 01:46, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > на 20 минут?

    А ты вообще ntp используешь, для начала?

     

  • 1.85, Demo (??), 18:33, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Обновление с устранением уязвимости (CVE-2013-5211) уже выпущено

    А в чём уязвимость то, если такое поведение by design? Скорее это уязвимость в голове designer-а...

     
  • 1.104, Mt (?), 01:15, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2014 год, провайдеры все еще не способны отфильтровать подставные src в ip трафике от своих клиентов. Может с такими "ISP" связность разрывать?
     
     
  • 2.105, t28 (?), 02:47, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 2014 год, провайдеры все еще не способны отфильтровать подставные src в ip
    > трафике от своих клиентов. Может с такими "ISP" связность разрывать?

    Вам уже писали, что спуфинг — вполне нормальная технология, использующася много где для вполне обычных вещей вроде load balancing-а.

     
  • 2.107, Аноним (-), 05:26, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить
     
     
  • 3.110, Demo (??), 12:22, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Всегда найдутся провайдеры, которые тебе за небольшую плату разрешат спуфить

    Ты знаешь, за всё время работы ни от ABOVE.NET-а, ни от Cogent-а, ни от Verizon-а, ни от других провайдеров вопросов по поводу исходящего от нас спуфинга ни разу не поступало. Ещё раз повторю — нормальные провайдеры такой фигнёй как фильтрация спуфинга не страдают. Допускаю, что на просторах СНГ какая-то шибко вумная мелочь пузатая фильтрует.

     
     
  • 4.111, Аноним (-), 15:22, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >вопросов по поводу исходящего от нас спуфинга ни разу не поступало

    А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних затрат? Или лучший способ это колокейшин у провайдера?

     
     
  • 5.112, Demo (??), 16:26, 16/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
    > затрат? Или лучший способ это колокейшин у провайдера?

    Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений. Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее взять у ДЦ в аренду, чем перевозить своё.

     
     
  • 6.123, john (??), 02:19, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А не подскажешь тогда, где можно прикупить дедик со спуфингом без лишних
    >> затрат? Или лучший способ это колокейшин у провайдера?
    > Алгоритм следующий. Арендуется шкаф или юниты в шкафу в любом крупном дата-центре
    > Европы/США и запрашивается список провайдеров, присутствующих в дата-центре. Устанавливается
    > нужное оборудование и выбирается провайдер, согласно поступивших комм.-предложений.
    > Куда-то тащить дедики — не выгодно. Да и оборудование чаще выгоднее
    > взять у ДЦ в аренду, чем перевозить своё.

    Какой то не понятный алгоритм, если честно :)

     
  • 2.121, Аноним (-), 01:43, 17/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Может с такими "ISP" связность разрывать?

    Да, отключите все сетевые провода во внешний мир.

     

  • 1.131, Аноним (-), 16:27, 19/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    gt оверквотинг удален ntpd как бы не единственный на свете Но пользователи, с... большой текст свёрнут, показать
     
  • 1.134, Владимир (??), 00:43, 15/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Настроить линух с его GUI проще, наверное, чем FreeBSD, - подумает туева хуча дилетантов-линуксоидов - и выберет линукс вместо фряхи. Каждый линукосоид будет биться за то, что именно его сборка самая лучшая в мире, хотя там ногу сломаешь. Нет никакой стройности и преемственности. Во фряхе можно очень быстро разобраться в любой версии, ибо имеет место стройность и преемственность. Поэтому "БСДуны" сосредоточены, как правило, лишь на решении конкретной задачи, а не на втаптывании в грязь осей, отличных от БСД (линуксоиды этим напоминают порой фанатов айфона, плюющих в сторону всех девайсов андроидом), и не на том, чтобы разобраться в новой ОСи. Каждый работает на том, что ему ближе и понятнее, но лично мне фряха понятнее и роднее уже много лет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру