Работа с атаками отражения NTP в IPTables

По сути, вам не повезло, если DDoS-атаке удается заполнить любой канал, который у вас есть, к Интернету (что является целью любой атаки отражения UDP - заполнить канал). Если ваш восходящий канал может принимать 1 Гбит / с трафика, и есть (скажем) 2 Гбит / с общего трафика для нисходящего канала, то половина этого будет отброшена маршрутизатором или коммутатором, который отправляет пакеты по каналу. Злоумышленнику все равно, что половина его атакующего трафика будет сброшена, но ваши клиенты это сделают: потеря 50% пакетов в TCP-соединении будет ужасной, ужасный важны производительность и надежность этих соединений.

Там только два три способа остановить объемную DDoS-атаку:

1. Имейте достаточно большой канал, чтобы трафик атаки не заполнял его.
2. Остановите пакеты атаки, прежде чем они упадут по трубе.
3. Переключитесь на другой IP-адрес, который не подвергается атаке отражения NTP.

Их блокировка в iptables не принесет результата, потому что к тому времени трафик атаки уже вытеснил законный трафик и вынудил его отбрасывать его на пол, так что злоумышленник выиграл. Поскольку вы (предположительно) не контролируете восходящий маршрутизатор или коммутатор, который пересылает трафик атаки, да, вам придется связаться с вашим провайдером восходящей сети и попросить их сделать что-то чтобы предотвратить попадание атакующего трафика на вашу сетевую ссылку, будь то

• блокировать весь трафик через порт атаки (не то, что большинство интернет-провайдеров готовы делать на своих маршрутизаторах клиентского доступа colo, для $REASONS)

• отфильтровать исходные IP-адреса атаки (более правдоподобно, с S / RTBH, но не то, что уже есть у каждого провайдера)

• в худшем случае, закройте IP-адрес назначения

Обратите внимание, что закрытие IP-адреса работает только в том случае, если у вас есть другие IP-адреса, которые могут продолжать работать - если ваш провайдер скрывает ваш единственный IP-адрес, злоумышленник преуспел, потому что вы не подключены к Интернету, что они и пытались достичь. в первую очередь.

Я предполагаю, что у вас есть канал к вашему провайдеру, который заканчивается на вашем собственном маршрутизаторе / брандмауэре. Тогда за этим маршрутизатором / брандмауэром у вас будут свои машины. Интернет-провайдер не будет блокировать трафик, поэтому вам придется решать это самостоятельно. Вы хотите заблокировать трафик на маршрутизаторе / брандмауэре, чтобы он не попадал на машины, находящиеся за ним, при минимальной нагрузке на маршрутизатор / брандмауэр.

Ваше правило выглядит правильным для отбрасывания всего, что пришло с ntp-сервера на стандартный порт. Помните, если вы на самом деле используете ntp, вам может потребоваться проделать дыры в правилах брандмауэра.

Если ваш брандмауэр использует отслеживание соединений (большинство из них), тогда вы можете использовать «сырую» таблицу, чтобы отбрасывать пакеты до того, как они достигнут машины отслеживания соединений.

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

Похоже, мы можем сообщить IP-адреса для злоупотребления NTP (и, надеюсь, исправления NTP) в

http://openntpproject.org/

Что касается сетей отчетов, которые допускают поддельные IP-адреса, Я не могу найти много:

Наши измерения показывают, что спуфинг по-прежнему распространен примерно среди 25% автономных систем и сетевых блоков, которые мы исследовали. Что еще более важно, единая точка входа для поддельного трафика предоставляет злоумышленникам средство для отправки поддельного трафика на весь Интернет. Интернет-провайдеры могут использовать фильтрацию [RFC2827], чтобы гарантировать, что их исходящий трафик не подделан.

Возможно, единственный способ - напрямую связаться с интернет-провайдером?