La Fibre
Télécom => Réseau => Attaques informatiques => Discussion démarrée par: Bensay le 13 février 2014 à 22:57:06
-
Bonsoir à tous,
Avez vous entendu parler de cette attaque massive de 400 Gbps basé sur une faille du protocole NTP ?
Des effets de bords ressenti ?
Avez vous plus d'informations :
http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/cybercriminalite/actualite-618512-grande-attaque-ddos-toucher-europe-etats-unis.html (http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/cybercriminalite/actualite-618512-grande-attaque-ddos-toucher-europe-etats-unis.html)
http://www.developpez.com/actu/67505/CloudFlare-victime-d-attaques-DDoS-encore-plus-devastatrices-que-celles-de-SpamHaus-les-effets-seraient-particulierement-ressentis-en-Europe/ (http://www.developpez.com/actu/67505/CloudFlare-victime-d-attaques-DDoS-encore-plus-devastatrices-que-celles-de-SpamHaus-les-effets-seraient-particulierement-ressentis-en-Europe/)
http://www.gizmodo.fr/2014/02/12/plus-grande-attaque-ddos.html (http://www.gizmodo.fr/2014/02/12/plus-grande-attaque-ddos.html)
Cordialement
Bensay
-
merci de l'info
-
Ce n'est pas une faille du protocole NTP.
Si je ne m'abuse, c'est le même type d'exploitation qu'avec le DNS :
- protocole UDP
- notion de "questions / réponses"
- la taille de la "question" est beaucoup plus petite que la taille de la "réponse"
Le problème vient du faire que des gens ont des serveur openbar (open resolver pour les DNS) : des serveurs qui répondent à n'importe qui
Du coup, des pitis rigolo envoye des (petits) paquets avec une fausse source à ce genre de serveur, qui renvoye les (grosses) réponses à la cible, laquel en prend plein les tuyaux.
Rien de nouveaux sous le soleil 8)
-
si j'ai bien compris, c'est différent d'une attaque par amplification type dns
amplification dns:
-tu trouve une réponse de nom de domaine sympa (certains ont des record qui tiennent sur genre 150 lignes)
-tu envois ta petite requête à un serveur dns en précisant comme source l'ip de la victime
-le serveur dns répond à la victime avec un gros paquet
tu multiplie les paquets et les serveurs dns
si la réponse est 12x plus grosse que ta requête, et que tu envois 100mbps, les serveurs dns vont balancer 1.2Gbps dans les dents de ta victime
ici, de ce que j'ai lu, il s'agit d'une attaque type smurf, utilisant des parcs de serveurs ntp
-envois d'une requête ntp avec comme ip source l'adresse victime
-le serveur, comme tout serveurs ntp qui se respecte, envois une série de paquet visant à calculer le temps passé entre la demande du client et l'arrive au serveur
la touche de lol ici, c'est que la requête initiale est faite en multicast, donc pour une requête de l'attaquant, il va y avoir plusieurs réponse vers la victime
apparemment à la clé une multiplication de l'attaque par près de 60
https://www.schneier.com/blog/archives/2014/01/ddos_attacks_us.html (https://www.schneier.com/blog/archives/2014/01/ddos_attacks_us.html)
cela fait longtemps que certains s'amusent avec ça, mais ces derniers mois c'est devenu vraiment intenable, par exemple pour les serveurs de jeu ou de streaming (twitch), notamment due à https://x.com/DerpTrolling (https://x.com/DerpTrolling) mais il y en a eu d'autres avant.
-
Visiblement, il y a eu des modifications sur le serveur NTP public de Bouygues Telecom, mais son graphe est propre, il n'était utilisé dans l'attaque ?
(https://lafibre.info/images/bbox/201402_smokeping_serveur_ntp_bbox.png)
Pour l'amplification DNS, il y a pas mal d'attaques en ce moment et Bouygues Telecom et SFR qui répondaient "Query refused" ne répondent plus du tout depuis les attaques de janvier :
Bouygues Telecom :
(https://lafibre.info/images/bbox/201402_smokeping_serveur_dns_bbox.png)
SFR :
(https://lafibre.info/images/altice/201402_smokeping_serveur_dns_sfr.png)
Pour Free et Orange, la fermeture compète des DNS resolver à Internet est plus ancienne.
Numericable a par contre certains DNS qui son complètement ouverts et qui répondent a n'importe quelle requête de n'importe quelle IP.
=> https://lafibre.info/dns/smokeping.cgi?target=Numericable.DNS
-
Est-ce que le serveur NTP de By propose un facteur multiplicatif intéressant?
-
Encore un truc où les sociétés de sécurité disent "han là là c'est la plus grande attaque du monde, du jamais vu" et les autres disent "nous on a rien vu"...
C'était le cas pour la dernière grosse amplification DNS en tout cas.
-
le sans explique comment empêcher son serveur d'être utilisé pour une attaque si vous avez monlist d'activé
https://isc.sans.edu/diary/NTP+reflection+attack/17300 (https://isc.sans.edu/diary/NTP+reflection+attack/17300)
et publie un guide pour savoir comment réagir en cas d'attaque ou si vous possédez ou découvrez un serveur NTP ouvert à tous (contactez http://openntpproject.org/ (http://openntpproject.org/) )
https://isc.sans.edu/diary/NTP+reflection+attacks+continue/17654 (https://isc.sans.edu/diary/NTP+reflection+attacks+continue/17654)
à lire aussi, le blog de Brian Krebs qui a reçu des dDOS de 200Gbps
http://krebsonsecurity.com/2014/02/the-new-normal-200-400-gbps-ddos-attacks/ (http://krebsonsecurity.com/2014/02/the-new-normal-200-400-gbps-ddos-attacks/)
il cite alison nixon à la dernière blackhat:
There is a growing awareness of NTP based attacks in the criminal underground in the past several months,” Nixon said. “I believe it’s because nobody realized just how many vulnerable servers are out there until recently. “The technical problem of NTP amplification has been known for a long time. Now that more and more attack lists are being traded around, the availability of DDoS services with NTP attack functionality is on the rise.
si vous découvrez un serveur NTP ouvert au public su votre réseau, Tamihiro Yuzawa a écrit une règle iptable pour le filtrer:
http://packetpushers.net/one-liner-iptables-rule-to-filter-ntp-reflection-on-linux-hypervisor/ (http://packetpushers.net/one-liner-iptables-rule-to-filter-ntp-reflection-on-linux-hypervisor/)
cloudflare a aussi écrit un billet très intéressant:
http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack (http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack)
ils ont apparemment été attaqué par 4,529 servers NTP sur 1,298 réseaux différents
et donnent un magnifique top24 qui en intéressera certains d'entre vous:
ASN Network Count
9808 CMNET-GD Guangdong Mobile Communication Co.Ltd. 136
4134 CHINANET-BACKBONE No.31,Jin-rong Street 116
16276 OVH OVH Systems 114
4837 CHINA169-BACKBONE CNCGROUP China169 Backbone 81
3320 DTAG Deutsche Telekom AG 69
39116 TELEHOUSE Telehouse Inter. Corp. of Europe Ltd 61
10796 SCRR-10796 - Time Warner Cable Internet LLC 53
6830 LGI-UPC Liberty Global Operations B.V. 48
6663 TTI-NET Euroweb Romania SA 46
9198 KAZTELECOM-AS JSC Kazakhtelecom 45
2497 IIJ Internet Initiative Japan Inc. 39
3269 ASN-IBSNAZ Telecom Italia S.p.a. 39
9371 SAKURA-C SAKURA Internet Inc. 39
12322 PROXAD Free SAS 37
20057 AT&T Wireless Service 37
30811 EPiServer AB 36
137 ASGARR GARR Italian academic and research network 34
209 ASN-QWEST-US NOVARTIS-DMZ-US 33
6315 XMISSION - XMission, L.C. 33
52967 NT Brasil Tecnologia Ltda. ME 32
4713 OCN NTT Communications Corporation 31
56041 CMNET-ZHEJIANG-AP China Mobile communications corporation 31
1659 ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information Center 30
4538 ERX-CERNET-BKB China Education and Research Network Center 30
C'est dommage pour oles qui pousse sont anti-dDos depuis quelques temps mais qui apparemment ne préviens pas en sorties de son réseau, j'espère que ce sera mis à jour je n'ai pas vu de réaction de sa part
pour l'instant, il défend son traffic entrant:
https://x.com/olesovhcom/status/434670701333602304 (https://x.com/olesovhcom/status/434670701333602304)
je pense le contacter ce soir (je n'ai pas mon twitter sous la main) pour savoir si ovh a contacté les propriétaires des serveurs vulnérables et s'ils comptent mettre à jour leur anti-dDos pour surveiller (mieux) le traffic sortant
-
Il y a eu un article de Bortzmeyer, sur le sujet il y a quelques jour :
http://www.bortzmeyer.org/ntp-reflexion.html (http://www.bortzmeyer.org/ntp-reflexion.html)