เรากำลังจัดการกับการโจมตี NTP สะท้อน / การขยายที่เซิร์ฟเวอร์ colocated ของเรา คำถามนี้เฉพาะสำหรับการตอบสนองต่อการโจมตีของ NTP และไม่ได้มุ่งเป้าไปที่ DDoS โดยทั่วไป
นี่คือการจราจร:
มันกำลังปั่น CPU สักหน่อยบนเราเตอร์ของเรา:
น่าเสียดายที่มันไม่ใหญ่พอที่จะทำให้ผู้ให้บริการต้นน้ำของเราทำการปิดกั้นทราฟฟิกซึ่งหมายความว่ามันผ่านเราไปแล้ว
เราได้ใช้กฎต่อไปนี้เพื่อบล็อกทราฟฟิก NTP ซึ่งมาจากพอร์ต 123:
-p udp --sport 123 -j DROP
นี่เป็นกฎข้อแรกใน IPTables
ฉันค้นหาข้อมูลจำนวนมากและฉันไม่สามารถหาข้อมูลได้มากนักเกี่ยวกับวิธีใช้ IPTables เพื่อลดการโจมตีของ NTP และข้อมูลบางอย่างดูเหมือนจะไม่ถูกต้อง กฎ IPTables นี้ถูกต้องหรือไม่ มีอะไรอีกบ้างที่เราสามารถเพิ่มหรือทำได้เพื่อลดการสะท้อนกลับ / การขยาย NTP นอกเหนือจากการติดต่อผู้ให้บริการเครือข่ายต้นน้ำของเรา
นอกจากนี้: เนื่องจากผู้โจมตีเหล่านี้ต้องใช้เครือข่ายที่
- อนุญาตการปลอมแปลงที่อยู่ IP ในแพ็คเก็ต
- มี unpatched ประมาณปี 2010 รหัส NTP
มีสำนักหักบัญชีทั่วโลกที่เราสามารถรายงานที่อยู่ IP เหล่านี้เพื่อให้พวกเขาได้รับการแก้ไขเพื่อหยุดการอนุญาตให้แพ็คเก็ตที่ปลอมแปลงและแก้ไขเซิร์ฟเวอร์ NTP ของพวกเขา?