The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DDoS через 123 порт"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"DDoS через 123 порт"  +1 +/
Сообщение от VituSkz (ok) on 23-Мрт-14, 19:45 
Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил траф через darkstat и заметил что трафик идет через 123 UDP порт.
Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist выключил, но канал все равно кто-то забивает по этому же порту.

Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака 123 порта через iptables тоже не спасла.

в iptables прописано:
-A INPUT -p udp -m udp --dport 123 -j DROP

ОС Centos 6

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DDoS через 123 порт"  +/
Сообщение от DeadLoco (ok) on 23-Мрт-14, 20:12 
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку.

Все, что нужно - в конфиге ntpd.conf воткнуть несколько строк:

restrict -4     default ignore
restrict -6     default ignore
restrict        127.0.0.1
restrict        127.127.1.0
restrict        192.168.0.0 mask 255.255.255.0 nomodify notrap

В последней строке подставьте свою локальную сеть.

Эти настройки запрещают использование вашего НТП-сервера извне, поскольку такой сервис является основой весьма мощного ДДоСа, который штормил пару месяцев тому. По всей видимости, вы один из последних чемпионов по слоупокеру, к которому ломятся боты, все еще молотящие ДДоС...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 23-Мрт-14, 20:27 
И еще по 53 порту с сотни IP адресов пакеты приходят:

Port    Service    In    Out    Total
1    tcpmux    0    1,588,500    1,588,500
53    domain    0    1,578,000    1,578,000

Это что?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "DDoS через 123 порт"  +/
Сообщение от Дядя_Федор on 23-Мрт-14, 22:23 
> И еще по 53 порту с сотни IP адресов пакеты приходят:
> Это что?

Это ДНС. Учим матчасть.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 23-Мрт-14, 20:30 
и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт 123 порт?
Или может не так правило прописал ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "DDoS через 123 порт"  +/
Сообщение от Дядя_Федор on 23-Мрт-14, 22:24 
> и еще вопрос, как тогда сервер принимает пакеты если в iptables закрыт
> 123 порт?
> Или может не так правило прописал ?

Пакеты все равно будут долетать до сетевого интерфейса. Обрабатываться сетевым стеком (и программой, которая слушает соответствующий порт) - не будут.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 24-Мрт-14, 12:05 
дописал:


restrict -4     default ignore
restrict -6     default ignore
restrict        127.0.0.1
restrict        127.127.1.0
restrict        192.168.1.0 mask 255.255.255.0 nomodify notrap
disable monitor

и перезапустил ntpd

service ntpd restart

ддос все равно продолжается.

Что сделано не так ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "DDoS через 123 порт"  +/
Сообщение от Дядя_Федор on 24-Мрт-14, 12:30 
> ддос все равно продолжается.
> Что сделано не так ?

То, что Вы не понимаете, что такое DDoS. И, соответственно, не знаете методов борьбы с ним.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 24-Мрт-14, 12:45 
>  То, что Вы не понимаете, что такое DDoS. И, соответственно, не
> знаете методов борьбы с ним.

да, я не силен в области защиты. Поэтому и зашел сюда попросить помочь с данной проблемой.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "DDoS через 123 порт"  +1 +/
Сообщение от Дядя_Федор on 25-Мрт-14, 08:41 
> да, я не силен в области защиты. Поэтому и зашел сюда попросить
> помочь с данной проблемой.

DDoS обычно просто так, от фонаря, не делаются. Мне кажется, что Вы преувеличиваете масштаб "атаки". :) Поставьте пакет iptraf (он же - iptraf-ng) и посмотрите - какой поток льется на Ваш сетевой интерфейс ежесекундно. Еще вариант - прикрутить какти (нагиос) и помониторить величину трафика. Это если задаться целью разобраться в проблеме.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 24-Мрт-14, 13:56 
Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом, и уже на мой сервер шлют UDP пакеты. трафик только входящий.
Я правильно понял?
и все же, как бороться с этим?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "DDoS через 123 порт"  +1 +/
Сообщение от McLeod095 (ok) on 24-Мрт-14, 15:37 
> Я так понимаю кто-то шлет другим серверам запросы с моим IP адресом,
> и уже на мой сервер шлют UDP пакеты. трафик только входящий.
> Я правильно понял?
> и все же, как бороться с этим?

Если даже Вы напишете сто правил в iptables которые будут запрещать прием пакетов ни никуда не денутся. Они по любому попадут на сетевой интерфейс и вы их получите. Так что если есть проблема и она реально начинает докучать то звоним провайдеру и просим заблокировать уже у них данный трафик, так он не дойдет до сетефого интерфейса точно.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 27-Мрт-14, 12:09 
> Если даже Вы напишете сто правил в iptables которые будут запрещать прием
> пакетов ни никуда не денутся. Они по любому попадут на сетевой
> интерфейс и вы их получите. Так что если есть проблема и
> она реально начинает докучать то звоним провайдеру и просим заблокировать уже
> у них данный трафик, так он не дойдет до сетефого интерфейса
> точно.

Их ответ:
>>Здравствуйте, в данной ситуации может помочь смена IP адреса. Если Вас устроит данный вариант, то,  пожалуйста, свяжитесь с Вашим менеджером или с начальником ******

После объяснения, что смена IP не решение, они предложили тупо закрыть порт:
>>Пожалуйста, уточните, закрытие порта решит проблему?

Мне в принципе не так важен этот порт, но может как нибудь можно заблокировать именно данный трафик? Или ограничить размер пакетов по этому порту ?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "DDoS через 123 порт"  +/
Сообщение от VituSkz (ok) on 27-Мрт-14, 13:19 
Хотя еще лучше:

>>К сожалению, у нас нет средств защиты от ддос атак. Это у нас также прописано в договоре. Единственное, что можем Вам посоветовать - это смена IP адреса.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "DDoS через 123 порт"  +/
Сообщение от pavlinux (ok) on 25-Мрт-14, 01:26 
> и все же, как бороться с этим?

Cloud Computing, Distributed Clasters,...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "DDoS через 123 порт"  +/
Сообщение от Аноним (??) on 24-Мрт-14, 18:35 
Как уже писали, надо звонить прову и просить сделать фильтр на его железе. Работы одна минута. С вашей стороны надо взять приличный сканер и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только из своих сеток. Возможно сканер ещё что то интересное покажет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "DDoS через 123 порт"  +/
Сообщение от ALex_hha (ok) on 27-Мрт-14, 14:57 
> Как уже писали, надо звонить прову и просить сделать фильтр на его
> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
> из своих сеток. Возможно сканер ещё что то интересное покажет.

Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а провайдеру позвонить не догадались :D

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "DDoS через 123 порт"  +/
Сообщение от McLeod095 (ok) on 27-Мрт-14, 15:18 
>> Как уже писали, надо звонить прову и просить сделать фильтр на его
>> железе. Работы одна минута. С вашей стороны надо взять приличный сканер
>> и посмотреть какие порты/сервисы видны из Инета. Если открыт 53-й, то
>> проверяете не является ли ваш днс публичным: nslookup ya.ru ваш.ип.адрес. Если
>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>> из своих сеток. Возможно сканер ещё что то интересное покажет.
> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
> провайдеру позвонить не догадались :D

Ну так не надо путать
Одно дело DDOS на 80 порт или другой порт который по определению должен быть доступен всем в интернете.
А здесь понятно что DDOS  идет на 123 порт и этот порт не должен быть доступен всему интернету, да и вообще доступен интернету вообще. Если конечно человек не предоставляет сервер точного времени.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "DDoS через 123 порт"  +/
Сообщение от anonymous (??) on 28-Мрт-14, 10:04 
>[оверквотинг удален]
>>> видете ответ, то правите конфигу днс, чтобы рекусивные запросы разрешались только
>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>> провайдеру позвонить не догадались :D
> Ну так не надо путать
> Одно дело DDOS на 80 порт или другой порт который по определению
> должен быть доступен всем в интернете.
> А здесь понятно что DDOS  идет на 123 порт и этот
> порт не должен быть доступен всему интернету, да и вообще доступен
> интернету вообще. Если конечно человек не предоставляет сервер точного времени.

А если предоставляет, как защищаться?)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "DDoS через 123 порт"  +/
Сообщение от серега email on 14-Дек-14, 16:49 
>[оверквотинг удален]
>>>> из своих сеток. Возможно сканер ещё что то интересное покажет.
>>> Расскажите это habrahabr. А то они уже день лежат из-за DDOS, а
>>> провайдеру позвонить не догадались :D
>> Ну так не надо путать
>> Одно дело DDOS на 80 порт или другой порт который по определению
>> должен быть доступен всем в интернете.
>> А здесь понятно что DDOS  идет на 123 порт и этот
>> порт не должен быть доступен всему интернету, да и вообще доступен
>> интернету вообще. Если конечно человек не предоставляет сервер точного времени.
> А если предоставляет, как защищаться?)

ну ты решил проблему?если да,отпиши в скайп mws25mws

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "DDoS через 123 порт"  +/
Сообщение от Virtual email(??) on 28-Мрт-14, 15:00 
> Здравствуйте. В общем уже какой день интернет канал забивается под завязку. Промониторил
> траф через darkstat и заметил что трафик идет через 123 UDP
> порт.
> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
> выключил, но канал все равно кто-то забивает по этому же порту.
> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
> 123 порта через iptables тоже не спасла.
> в iptables прописано:
> -A INPUT -p udp -m udp --dport 123 -j DROP
> ОС Centos 6

так, это вот же решение есть - https://www.opennet.ru/opennews/art.shtml?num=39075
или я не прав?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "DDoS через 123 порт"  +/
Сообщение от Virtual email(??) on 28-Мрт-14, 15:02 
>[оверквотинг удален]
>> порт.
>> Прочитал про данный баг, но вот беда, описанные решения не подходят, monlist
>> выключил, но канал все равно кто-то забивает по этому же порту.
>> Потом решил удалить ntp вообще, и даже после этого проблема осталась. Блокировака
>> 123 порта через iptables тоже не спасла.
>> в iptables прописано:
>> -A INPUT -p udp -m udp --dport 123 -j DROP
>> ОС Centos 6
> так, это вот же решение есть - https://www.opennet.ru/opennews/art.shtml?num=39075
> или я не прав?

извеняюсь не в тему ответил, не внимательно прочитал суть проблемы

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру