Ataque em ntp elevando a banda e o processamento
Boa tarde, faz uns 2 meses que ativei minha bgp em uma rb 1009 e comprei um /22, blz fiz a ativação perfeita navego normal, porem depois de 2 dias começo a receber ataque nesses clientes q estão com ip publico, ai tirei todos ips publicos dos clientes e coloquei ip privado, ai depois de 2 dias novamente começo a ter ataque de novo, mesmo sem usar os ips publicos, já coloquei regras para ver se para de ter esses ataques, já revisei a nossa rede toda e mesmo assim continua os problemas de ataque, ai minha operadora bloqueia os ips ai para, depois voçe coloca novamente os ips e continua o ataque depois de umas 12 horas que estiver usando, alguem já passo por esses problemas?
Obrigado.
Re: Ataque em ntp elevando a banda e o processamento
Passei por esse problema uma vez. Meu cenário era um pouco diferente, mas acredito que possa te ajudar.
Tinha um firewall na borda e um /29 de ips válidos para servidores de aplicações web em uma rede DMZ.
Um dos meus hosts estava com o NTP server ativo e o firewall da borda não estava filtrando a porta do NTP. COmecei a sofrer um ataque a ponto de não conseguir utilizar a minha banda mais. Mesmo parando o servidor NTP as requisições continuavam vindo sem parar matando o meu link.
Então fiz o bloqueio no firewall da borda e o link voltou ao normal. Eu conseguia ver que as tentativas de ataque continuavam, mas depois que passei a dropar esses pacotes o link ficou normal.
O problema é que o NTP utiliza UDP e além disso algumas versões possuem uma falha de segurança onde servidores da internet podem consultar uma lista dos últimos 300 hosts acessados pelo seu NTP e usar isso para aumentar a quantidade de hosts no ataque.
Depois que coloquei a regra de DROP o link normalizou, mas os ataques continuaram por mais uns 3 dias sem me afetar. Aos poucos foram parando.
Bloqueia no seu roteador que recebe o link da operadora e veja se a banda consumida volta ao normal pelo menos.
Abraços
Re: Ataque em ntp elevando a banda e o processamento
Intao já tenho 8 regras para bloquear udp e ntp porem não resolve 100%
Teria como voçe me enviar as regras que voce esta usando para eu testar aqui vê se normaliza, se poder agradeço demais.
Obrigado
Re: Ataque em ntp elevando a banda e o processamento
No meu caso, como o destino dos ataques era um dos hosts na DMZ eu dropava tudo o que entrava na interface wan do meu roteador na chain forward:
add action=drop chain=forward connection-state=new dst-port=123 in-interface=ether1 protocol=udp
Re: Ataque em ntp elevando a banda e o processamento
os meus não param processador e upload vai no talo.
Re: Ataque em ntp elevando a banda e o processamento
em 10Min 5GB de ataque e não para nem que a vaca tussa tá osso de barrar isso alguém tem uma sugestão?
Re: Ataque em ntp elevando a banda e o processamento
Você está sendo atacado? Veja que se você tem um firewall a única coisa que o firewall faz é impedir que os pacotes passem da Wan pra Lan... De qualquer modo eles vão chegar até a Wan. Ali você pode simplesmente descartar eles, mas teu link fica ocupado. Você pode pedir para teu provedor descartar lá na rede dentes esse ataque...
Re: Ataque em ntp elevando a banda e o processamento
Citação:
Postado originalmente por
andrecarlim
Você está sendo atacado? Veja que se você tem um firewall a única coisa que o firewall faz é impedir que os pacotes passem da Wan pra Lan... De qualquer modo eles vão chegar até a Wan. Ali você pode simplesmente descartar eles, mas teu link fica ocupado. Você pode pedir para teu provedor descartar lá na rede dentes esse ataque...
ai que mora o problema eles não querem fazer é a embratel
