Auteur Sujet: Attaque massive DDoS via service NTP  (Lu 7968 fois)

0 Membres et 1 Invité sur ce sujet

Bensay

  • Technicien Orange ADSL / FTTH / MIC
  • Abonné Orange Fibre
  • *
  • Messages: 686
  • Val D'oise

Polynesia

  • Abonné Orange Fibre
  • *
  • Messages: 999
  • FTTH 100/100 - Alençon (61)
    • Développeur web en devenir (en construction)
Attaque massive DDoS via service NTP
« Réponse #1 le: 13 février 2014 à 23:01:52 »
merci de l'info

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Attaque massive DDoS via service NTP
« Réponse #2 le: 13 février 2014 à 23:09:29 »
Ce n'est pas une faille du protocole NTP.
Si je ne m'abuse, c'est le même type d'exploitation qu'avec le DNS :
- protocole UDP
- notion de "questions / réponses"
- la taille de la "question" est beaucoup plus petite que la taille de la "réponse"

Le problème vient du faire que des gens ont des serveur openbar (open resolver pour les DNS) : des serveurs qui répondent à n'importe qui

Du coup, des pitis rigolo envoye des (petits) paquets avec une fausse source à ce genre de serveur, qui renvoye les (grosses) réponses à la cible, laquel en prend plein les tuyaux.

Rien de nouveaux sous le soleil  8)

minidou

  • Abonné Orange Fibre
  • *
  • Messages: 403
  • FTTH 1 Gb/s sur Nantes (44)
Attaque massive DDoS via service NTP
« Réponse #3 le: 13 février 2014 à 23:35:40 »
si j'ai bien compris, c'est différent d'une attaque par amplification type dns
amplification dns:
-tu trouve une réponse de nom de domaine sympa (certains ont des record qui tiennent sur genre 150 lignes)
-tu envois ta petite requête à un serveur dns en précisant comme source l'ip de la victime
-le serveur dns répond à la victime avec un gros paquet
tu multiplie les paquets et les serveurs dns
si la réponse est 12x plus grosse que ta requête, et que tu envois 100mbps, les serveurs dns vont balancer 1.2Gbps dans les dents de ta victime


ici, de ce que j'ai lu, il s'agit d'une attaque type smurf, utilisant des parcs de serveurs ntp
-envois d'une requête ntp avec comme ip source l'adresse victime
-le serveur, comme tout serveurs ntp qui se respecte, envois une série de paquet visant à calculer le temps passé entre la demande du client et l'arrive au serveur
la touche de lol ici, c'est que la requête initiale est faite en multicast, donc pour une requête de l'attaquant, il va y avoir plusieurs réponse vers la victime
apparemment à la clé une multiplication de l'attaque par près de 60

https://www.schneier.com/blog/archives/2014/01/ddos_attacks_us.html

cela fait longtemps que certains s'amusent avec ça, mais ces derniers mois c'est devenu vraiment intenable, par exemple pour les serveurs de jeu ou de streaming (twitch), notamment due à https://twitter.com/DerpTrolling mais il y en a eu d'autres avant.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Attaque massive DDoS via service NTP
« Réponse #4 le: 14 février 2014 à 06:38:15 »
Visiblement, il y a eu des modifications sur le serveur NTP public de Bouygues Telecom, mais son graphe est propre, il n'était utilisé dans l'attaque ?




Pour l'amplification DNS, il y a pas mal d'attaques en ce moment et Bouygues Telecom et SFR qui répondaient "Query refused" ne répondent plus du tout depuis les attaques de janvier :

Bouygues Telecom :


SFR :


Pour Free et Orange, la fermeture compète des DNS resolver à Internet est plus ancienne.

Numericable a par contre certains DNS qui son complètement ouverts et qui répondent a n'importe quelle requête de n'importe quelle IP.
=> https://lafibre.info/dns/smokeping.cgi?target=Numericable.DNS

corrector

  • Invité
Attaque massive DDoS via service NTP
« Réponse #5 le: 14 février 2014 à 06:44:50 »
Est-ce que le serveur NTP de By propose un facteur multiplicatif intéressant?

Nico

  • Modérateur
  • *
  • Messages: 44 449
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Attaque massive DDoS via service NTP
« Réponse #6 le: 14 février 2014 à 07:24:50 »
Encore un truc où les sociétés de sécurité disent "han là là c'est la plus grande attaque du monde, du jamais vu" et les autres disent "nous on a rien vu"...

C'était le cas pour la dernière grosse amplification DNS en tout cas.

minidou

  • Abonné Orange Fibre
  • *
  • Messages: 403
  • FTTH 1 Gb/s sur Nantes (44)
Attaque massive DDoS via service NTP
« Réponse #7 le: 18 février 2014 à 11:01:56 »
le sans explique comment empêcher son serveur d'être utilisé pour une attaque si vous avez monlist d'activé
https://isc.sans.edu/diary/NTP+reflection+attack/17300
et publie un guide pour savoir comment réagir en cas d'attaque ou si vous possédez ou découvrez un serveur NTP ouvert à tous (contactez http://openntpproject.org/ )
https://isc.sans.edu/diary/NTP+reflection+attacks+continue/17654

à lire aussi, le blog de Brian Krebs qui a reçu des dDOS de 200Gbps
http://krebsonsecurity.com/2014/02/the-new-normal-200-400-gbps-ddos-attacks/
il cite alison nixon à la dernière blackhat:
Citer
There is a growing awareness of NTP based attacks in the criminal underground in the past several months,” Nixon said. “I believe it’s because nobody realized just how many vulnerable servers are out there until recently. “The technical problem of NTP amplification has been known for a long time. Now that more and more attack lists are being traded around, the availability of DDoS services with NTP attack functionality is on the rise.

si vous découvrez un serveur NTP ouvert au public su votre réseau, Tamihiro Yuzawa a écrit une règle iptable pour le filtrer:
http://packetpushers.net/one-liner-iptables-rule-to-filter-ntp-reflection-on-linux-hypervisor/

cloudflare a aussi écrit un billet très intéressant:
http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack
ils ont apparemment été attaqué par 4,529 servers NTP sur 1,298 réseaux différents
et donnent un magnifique top24 qui en intéressera certains d'entre vous:
Citer
ASN Network                                                          Count
 9808 CMNET-GD Guangdong Mobile Communication Co.Ltd.                    136
 4134 CHINANET-BACKBONE No.31,Jin-rong Street                            116
16276 OVH OVH Systems                                                    114
 4837 CHINA169-BACKBONE CNCGROUP China169 Backbone                        81
 3320 DTAG Deutsche Telekom AG                                            69
39116 TELEHOUSE Telehouse Inter. Corp. of Europe Ltd                      61
10796 SCRR-10796 - Time Warner Cable Internet LLC                         53
 6830 LGI-UPC Liberty Global Operations B.V.                              48
 6663 TTI-NET Euroweb Romania SA                                          46
 9198 KAZTELECOM-AS JSC Kazakhtelecom                                     45
 2497 IIJ Internet Initiative Japan Inc.                                  39
 3269 ASN-IBSNAZ Telecom Italia S.p.a.                                    39
 9371 SAKURA-C SAKURA Internet Inc.                                       39
12322 PROXAD Free SAS                                                     37
20057 AT&T Wireless Service                                               37
30811 EPiServer AB                                                        36
  137 ASGARR GARR Italian academic and research network                   34
  209 ASN-QWEST-US NOVARTIS-DMZ-US                                        33
 6315 XMISSION - XMission, L.C.                                           33
52967 NT Brasil Tecnologia Ltda. ME                                       32
 4713 OCN NTT Communications Corporation                                  31
56041 CMNET-ZHEJIANG-AP China Mobile communications corporation           31
 1659 ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information Center   30
 4538 ERX-CERNET-BKB China Education and Research Network Center          30
C'est dommage pour oles qui pousse sont anti-dDos depuis quelques temps mais qui apparemment ne préviens pas en sorties de son réseau, j'espère que ce sera mis à jour je n'ai pas vu de réaction de sa part
pour l'instant, il défend son traffic entrant:
https://twitter.com/olesovhcom/status/434670701333602304
je pense le contacter ce soir (je n'ai pas mon twitter sous la main) pour savoir si ovh a contacté les propriétaires des serveurs vulnérables et s'ils comptent mettre à jour leur anti-dDos pour surveiller (mieux) le traffic sortant

krtman

  • Expert
  • Abonné Free adsl
  • *
  • Messages: 141
Attaque massive DDoS via service NTP
« Réponse #8 le: 18 février 2014 à 13:50:20 »
Il y a eu un article de Bortzmeyer, sur le sujet il y a quelques jour :
http://www.bortzmeyer.org/ntp-reflexion.html