web-dev-qa-db-ja.com

NTPホームサーバーに対するDDoS攻撃

このエクスプロイトまたはDDoSメソッドについていくつかの優れたスクリプトキディが発見した後、彼らはWebサイト、ゲームサーバー、そして今では私のホームサーバーに夢中になって、クライアントのWebサイトのいくつかや人々のためのさまざまなプロジェクトに取り組むことができます。私のISPは私に電話をかけてきて、それについて、そして彼らの帯域幅の多くをどのように使い切っているのかについて不平を言っています。彼らは私のビジネスプランのサービスが止まらなければ停止するつもりだと不平を言っています。

また、すべてのホームサーバーでFedora 17を実行していますPHP 5.5、Apache 2.6、MySQL 5.5。

この攻撃方法にパッチを適用またはブロックするにはどうすればよいですか?

18
user42740

すぐに緩和策として、NTPサービスを適切に保護されるまでシャットダウンします。コンピュータのクロックは停止しません(または、少なくとも)1日か2日でドリフトが多すぎます。受信リクエストは引き続き表示されますが、サーバーは応答を送信しないため、全体的なトラフィックレベルは90%低下するか、もっと。

ホームサーバーを実行しているため、おそらくパブリックNTP=サービスを提供していません。この場合、セキュリティを確保するのは簡単です。UDPポート123へのすべての受信トラフィックをファイアウォールでブロックできますまたは、「UNIX ntpd」テンプレート here を使用して、着信要求を無視するようにntpdを構成するか、(両方を)行うことができます。

28
Mark

NTPは、要求と応答のサイズ比が最も高く、UDPを上回っているため、反射DNS増幅攻撃の方法として非常に好まれています。 Cloudfareは最近、400Gb/sを超えるこのタイプの最大の攻撃の標的になりました。彼らは、この攻撃の受信側での状況と、サーバー管理者がそれをどのように軽減できるかについて、適切な説明を行いました。ここの記事をチェックしてください(コメントをチェックしてください):

http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack

10
PTW-105

他の回答に加えてできることの1つは、警察に連絡することです。私が住んでいるところでは、DDoSは破壊行為と同じくらいひどく、刑務所の時間やその他の制裁措置によって罰せられます。スクリプトキディかどうかに関係なく、ここでは警察がISPからのトラフィックに関する情報を要求できます。それがスクリプトキディであれば簡単で、たいていは親のホームネットワークから攻撃します。そうでない場合は、プロキシまたはボットネットを使用します。彼らはそれの後で馬鹿を送っていないことを保証した。

もちろん、攻撃が発生した場合は、サーバーへのネットワーク接続を提供している機器を切断することを忘れないでください。

5
Lighty