NTP DDoS Attack en servidores domésticos

17

Después de que algunos chavales a medio guión se enteraron de este exploit o método DDoS, lo han estado haciendo como locos con los sitios web, los servidores de juegos y ahora los servidores de mi casa, lo que me permite trabajar en algunos de los sitios web de mis clientes y diferentes Proyectos para personas. Mi ISP me está llamando, quejándose de ello y de cómo está utilizando una gran parte de su ancho de banda. Se quejan de que van a cerrar el servicio de mi plan de negocios si no se detiene.

Además, todos mis servidores domésticos ejecutan Fedora 17, PHP 5.5, Apache 2.6, MySQL 5.5.

¿Cómo puedo parchear o bloquear este método de ataque?

    
pregunta 23.04.2014 - 06:28
fuente

3 respuestas

28

Como mitigación inmediata, cierre su servicio NTP hasta que pueda obtener la seguridad adecuada. El reloj de su computadora no (o al menos, no debería ) va a la deriva demasiado en un día o dos. Seguirá viendo las solicitudes entrantes, pero su servidor no enviará respuestas, por lo que el nivel de tráfico general debería disminuir en un 90% o más.

Dado que está ejecutando un servidor doméstico, probablemente no esté proporcionando servicios NTP públicos. En este caso, asegurar las cosas es fácil. Puede bloquear todo el tráfico entrante al puerto UDP 123 en el firewall, o puede usar la plantilla "UNIX ntpd" here para configurar ntpd para ignorar las solicitudes entrantes, o (mejor) hacer ambas cosas.

    
respondido por el Mark 23.04.2014 - 09:53
fuente
10

NTP tiene uno de los mayores índices de solicitud y tamaño de respuesta, es sobre UDP, y como tal es altamente preferido como un método para ataques de amplificación de DNS reflexivos. Cloudfare fue recientemente el objetivo del mayor ataque de este tipo que superó los 400Gb / s. Hicieron una buena reseña de lo que es estar en el extremo receptor de este ataque y cómo los administradores del servidor pueden mitigarlo. Revisa los artículos aquí (asegúrate de revisar los comentarios):

enlace

enlace

    
respondido por el PTW-105 23.04.2014 - 08:01
fuente
5

Una cosa que puede hacer además de las otras respuestas es ponerse en contacto con la policía: donde vivo, DDoS es tan malo como el vandalismo y se castiga con pena de cárcel y / u otras sanciones. Con o sin script, aquí, la policía puede solicitar información sobre el tráfico del ISP, si es un script para niños, es fácil, en su mayoría atacan desde la red doméstica de sus padres, y si no lo son, y usa proxies o botnets. aseguró que no enviarán idiotas después de esto.

Por supuesto, cuando ocurra el ataque, no olvides desconectar cualquier equipo que esté proporcionando la conexión de red a tu servidor.

    
respondido por el Lighty 23.04.2014 - 12:09
fuente

Lea otras preguntas en las etiquetas