LINUX.ORG.RU

Демон ntpd подвержен уязвимости «усиление трафика»

 , ,


0

3

В январе 2014 года на сайте ntp.org появилось следующее сообщение:

NTP users are strongly urged to take immediate action to ensure that their NTP daemon is not susceptible to use in a reflected denial-of-service (DRDoS) attack. Please see the NTP Security Notice for more information.

Пользователей NTP настоятельно просим незамедлительно убедиться, что их NTP демон не подвержен атаке DRDoS (усиление трафика). См. NTP Security Notice для большей информации.

Несмотря на то, что уязвимость была закрыта еще в 2010 году в версии 4.2.7p26, во многих дистрибутивах до сих пор распространяется версия 4.2.6 или ранее. Пользователям этих версий следует обновиться на версию 4.2.7p26. Если это по каким-то причинам невозможно, следует использовать либо noquery в разрешениях по умолчанию, чтобы отключить все статусные запросы, либо disable monitor для отключения только команды ntpdc -c monlist, либо ограничить доступ к ntpd настройками файрволла.

Атака DRDoS в данном случае использует то, что демон ntpd работает по протоколу UDP, а также то, что пакет ответа на команды REQ_MON_GETLIST и REQ_MON_GETLIST_1 содержит в 3600~5500 раз больше данных, чем пакет запроса. Таким образом, если подделать IP адрес отправителя запроса на IP-адрес жертвы, то ей придет огромный трафик ответов от NTP сервера, забивая входящий канал мусором.

>>> Подробности

★★★

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

Таким образом, если подделать IP адрес отправителя запроса на IP-адрес жертвы

Интересно, как сейчас обстоит ситуация с IP спуфингом: насколько сложно найти ISP, который еще не режет выходящий траффик по source address?

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

В декабре 2013 такие атаки проходили на ура. В январе, по-моему, тоже.

Kiborg ★★★
() автор топика
[root@battlehummer ~]# rpm -q ntp
ntp-4.2.6p5-11.fc19.x86_64
[root@battlehummer ~]# grep noquery /etc/ntp.conf 
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

Вроде закрыто всё. Конфиг по умолчанию.

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

Это хорошо. Может мэинтейнеры пакета поколдовали. Что за дистрибутив?

В любом случае, проверить будет не лишним, о чем и просят на ntp.org.

Кстати, в BSD эта уязвимость тоже есть.

Kiborg ★★★
() автор топика
Ответ на: комментарий от Kiborg

Это хорошо. Может мэинтейнеры пакета поколдовали. Что за дистрибутив?

gentoo me # grep noquery /etc/ntp.conf 
restrict default nomodify nopeer noquery limited kod
gentoo me # uname -a
Linux gentoo 3.12.9-gentoo #1 SMP PREEMPT Sat Jan 25 23:26:17 EET 2014 x86_64 Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz GenuineIntel GNU/Linux
snaf ★★★★★
()
Ответ на: комментарий от unt1tled

openntpd это ntpd от команды openbsd, это другой демон обеспечивающий ту же функциональность.

val-amart ★★★★★
()
Ответ на: комментарий от edigaryev

А потому что это не работа ISP. Кроме того, ты попутал безграничный, нефильтрованный трафик для корпоративных клиентов с домашними сетями. Первое: это доп.услуга, которая грузит железки, а значит требует денег. Во-вторых: это может пугать, сначала фильтруют это, а потом и весь инет.

Кому надо те и не о таком думают.

gh0stwizard ★★★★★
()

noquery в разрешениях по умолчанию

Мейнтенеры убунты, например, заботятся о своих пользователях.

Ip0 ★★★★
()
Ответ на: комментарий от gh0stwizard

А потому что это не работа ISP.

А чья это по-твоему работа?

Кроме того, ты попутал безграничный, нефильтрованный трафик для корпоративных клиентов с домашними сетями.

Возможно.

Первое: это доп.услуга, которая грузит железки, а значит требует денег.

Есть мнение, что в долгосрочной перспективе фильтровать трафик гораздо выгоднее, чем разгребать проблемы от возросших нагрузок в результате DDoS атак с применением reflector'ов.

https://www.ripe.net/ripe/docs/ripe-432

Во-вторых: это может пугать, сначала фильтруют это, а потом и весь инет.

Если только домохозяек.

edigaryev ★★★★★
()

А как вообще отключить ntp чтобы ничего не слушал? Мне он нужен только чтобы локальное время шло ровно, никому ни на какие запросы отвечать не надо. Версия старая (centos).

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

OpenBSD'шный и BusyBox'овский так по умолчанию и делают. А эту дрянь приходится закрывать firewall'ом.

anonymous
()
Ответ на: комментарий от gh0stwizard

А потому что это не работа ISP.

На этот счёт есть несколько мнений. Например, в долгосрочной перспективе это может уменьшить кол-во атак и сэкономить на каналах/оборудовании.

Плюс, IETF считает что это best current practice ftp://ftp.rfc-editor.org/in-notes/rfc2827.txt

это может пугать, сначала фильтруют это, а потом и весь инет.

Плохая аналогия. Например, mac lock уже сто лет применяется и это нормальная практика. Это не вопрос цензуры, это необходимо для нормального функционирования сети. Фильтруется только левый трафик.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Плохая аналогия. Например, mac lock уже сто лет применяется и это нормальная практика.

Ты про защиту от mac address spoofing? Кстати, если бы у железок не было такой проблемы by design никто бы и не заморачивался. Т.е. это костыльная практика.

Фильтруется только левый трафик.

Ну что значит левый? Source based routing может быть полезен, если правильно использовать. То, что у данной технологии есть негативное применение на значит, что это «левый» трафик. Более того, если бы никто не шугался от данной техники, возможно, сейчас мы бы получили довольно интересные и продуктивные решения.

P.S. Source based routing это не тоже самое, что Reverse Path. Просто в контексте самой методики принцип одинаков.

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от edigaryev

чем разгребать проблемы от возросших нагрузок в результате
DDoS атак с применением reflector'ов.

Беда в том, что это не спасёт того, кто режет. Оно спасёт других. А это - неочевидный профит. Польза будет, если так будут делать все.

AS ★★★★★
()
Ответ на: комментарий от Legioner

Я бы, наверное, оставил только ntpdate в кроне.

Kiborg ★★★
() автор топика

Это только для тех кто раздаёт время или для всех ?
Если для клиентов то каким образом они пофиксили ?
[paranoia]А что если оно со свежим бекдором и они только и добиваются чтобы я обновился ?[/paranoia]

pony
()
Ответ на: комментарий от pony

Это для тех, у кого ntpd наружу торчит и отвечает на запросы REQ_MON_GETLIST и REQ_MON_GETLIST_1.

Насчет бэкдоров не знаю, но вот что в старом точно есть - это подверженность атаке.

Kiborg ★★★
() автор топика
Ответ на: комментарий от Kiborg

А по-моему это всего лишь подверженность атакованию, причём лишь в каких-нибудь неправильных интернетах.

pony
()
Ответ на: комментарий от pony

Ну, забьют ведь не только чужой входящий трафик, но и твой исходящий. А интернет - он далеко не везде «правильный».

Kiborg ★★★
() автор топика
Ответ на: комментарий от edigaryev

насколько сложно найти ISP, который еще не режет выходящий траффик по source address?

Нетрудно. Это по барабану если брать провайдерские пулы, которые доступны на сайтах сетевых регистраторов.

andrew667 ★★★★★
()
Ответ на: комментарий от Legioner

А как вообще отключить ntp чтобы ничего не слушал?

Никак, by design. Можно ему запретить отвечать всем, кроме нескольких серверов, но слушать (не слушаться) он будет всех.

Можно ещё фаерволом его порезать, конечно.

om-nom-nimouse ★★
()
Ответ на: комментарий от gh0stwizard

Кстати, если бы у железок не было такой проблемы by design никто бы и не заморачивался. Т.е. это костыльная практика.

Имхо, это отличная практика. Но, хозяин-барин, предложи лучшее решение (=более совершенный протокол низкого уровня).

Source based routing может быть полезен, если правильно использовать

Всё что можно использовать неправильно будет использовано неправильно и во вред. Такие вещи можно внедрять только ограниченно в пределах одной организации.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Имхо, это отличная практика. Но, хозяин-барин, предложи лучшее решение (=более совершенный протокол низкого уровня).

О. Да ты теорию не знаешь. Проще говоря, железки которые смогут в ОЗУ держать все мак-адреса и ворочать ими как нефиг делать. В текущих железках тупо жмотят память на сее действие. Кстати, если выделить памяти хотя бы на несколько миллионов, то даже при очень быстрой смене, они не заполнят все пространство. Тут еще зависит сколько портов, но даже с одним получим что при обновление 1000 раз в секунду и времени хранения в 120 секунд = 120 000. Дальше очистка и обновления этих 120 к адресов. Все, проблемы нет. А сколько в современных цисках? 32-64к? Что, память такая дорогая? Или не умеем делать сверхбыструю память на 64Мб? Не верю! Это все происки маркетологов и ничего придумывать не надо.

gh0stwizard ★★★★★
()
Ответ на: комментарий от selivan

ntpd автоматически подстраивает время в нужные интервалы используя какие-то свои умные алгоритмы. Самое умное, что я смогу сделать, это запускать раз в минуту ntpdate, что мне не кажется разумным и вообще пишут что он устарел и надо использовать ntpd. В общем закрою фаерволом и всё.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Каким таким умным алгоритмом можно посчитать убегание часов локального компьютера? Зачем держать целый сервер, закрывая фаерволами, если достаточно клиента? Overkill. Синхронизации по крону достаточно.

Если ntpdate не нравится - тогда как вариант есть rdate http://sourceforge.net/projects/openrdate/

selivan ★★★
()

Все кто заботится о безопасности давно используют OpenNtpd.

multihead
()
Ответ на: комментарий от Kiborg

Что за дистрибутив?

Федора. Как часто бывает, во всех популярных дистрибутивах уязвимость закрыта конфигами.

legolegs ★★★★★
()

во многих дистрибутивах до сих пор распространяется версия 4.2.6 или ранее

а в каких?

gray ★★★★★
()

буквально неделю назад наблюдал такой эффект на одном из старых тазиков...

W ★★★★★
()
Ответ на: комментарий от gh0stwizard

Да ты теорию не знаешь.

А ты, я вижу — крупный теоретик...

Не надо говорить проще, расскажи нам по-сложному сколько это — «все мак-адреса», на какое конкретно действие по «ворочанию» ими жмотят память и как именно это «сее действие» поможет.

frob ★★★★★
()
Ответ на: комментарий от true_admin

озолотишься

От слова «золотарь»? =)

frob ★★★★★
()
Ответ на: комментарий от Legioner

(centos)

CentOS 6? Если да, то yum install ntpdate && yum remove ntp && chkconfig ntpdate on

dexpl ★★★★★
()

Вроде, это уже давно не новость. Хотя, может кто-то и не знал про эту уязвимость.

lucentcode ★★★★★
()
Ответ на: комментарий от anonymous

В BusyBox есть NTP демон? До чего техника дошла.

MrClon ★★★★★
()
Ответ на: комментарий от AS

И достаточно одного пофигиста который не режит что-бы испортить жизнь всем, и найти его будет не так уж просто. Ну не одного, но нескольких.
В общем пичаль-пичаль.

Остаётся внедрять разумные дефолты в UDP демоны (тот-же DNS уже сейчас может быть весьма не дружественен к DNS amp, в дебиане вроде даже из коробки).

MrClon ★★★★★
()
Ответ на: комментарий от pony

«Неправильные интернеты» это то место где мы с тобой сейчас находимся.

А насчёт бэкдора не боись, старая его версия работает ничуть не хуже, в новой только подправили утечку памяти в некоторых экзотических условиях и добавили поддержку более надёжного шифрования управляющего канала (на будущее). Инфа 100%

MrClon ★★★★★
()
Ответ на: комментарий от frob

А ты, я вижу — крупный теоретик...

http://xgu.ru/wiki/ARP-spoofing

http://en.wikipedia.org/wiki/Arp_spoofing

Может почитаешь на досуге. Кругом только и специалисты. Сколько проблем в нынешних коммутаторах с ARP? Как минимум три: коллизии, переполнение таблицы, броадкастовый на произвольном порту. С коллизиями и броадкастом боротся можно, делается на софтверном уровне. А как боротся с переполнением? Давай, скажи, что-нибудь по делу. Поправь. Дополни. Или ты, будучи идеальным человеком, пришел сюдя потрындеть, какие вокруг уроды, а ты д'Артаньян?

Всегда поражаюсь, якобы не любят дартаньянов, а сами поливают грязью при первой возможности!

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от gh0stwizard

Сколько проблем в нынешних коммутаторах с ARP

переполнение таблицы

эээ, а как переполнение таблицы на коммутаторе связано с ARP?

muon ★★★★
()
Ответ на: комментарий от gh0stwizard

Послушайте, Арамис...
У вас в черепной коробке каша. При чём здесь вообще ARP-spoofing?

«В нынешних коммутаторах» (в значении «L2 switch») проблем с ARP нет вообще. И быть не может. По определению. Если вам это непонятно — почитайте что-нибудь на досуге.

Невозможно поправлять бред. А дополнить его тут и без меня мушкетёров полно.

Вытрясете кашу — почитайте про DAI и DHCP snooping; про port-security; разберитесь сколько и откуда MAC-ов может быть на каком сетевом устройстве в работоспособной сети.

frob ★★★★★
()
Ответ на: комментарий от gh0stwizard

Товарищ frob сетевой админ, он в этом знает побольше нашего. Просто спроси по-человечески, он расскажет. Ты же начал с наезда на меня что я «теоретизирую и ничего не понимаю».

Касательно твоего заявления что «нужно больше памяти свитчам».

1) Там дорогая память потому что решение о том что делать с пакетом нужно принять до того как придёт новый пакет. Для гигабитного эзернета это 96ns. И таких портов у свитча может быть и 24 и 48. И, на сколько я знаю, каждый порт содержит свою память (forward information base). Для 10G этот интервал 9.6ns. Поэтому поставить «много памяти» на каждый порт затруднительно.

2) Почему ты решил что кто-то будет флудить новыми мак-адресами со скоростью всего лишь 1000 пакетов в секунду? Там и миллион можно на гигабите-то.

3) Port security решает эту проблему значительно более элегантно.

4) Не понятно как твоё решение может, например, помочь если два хоста поднимут один mac-адрес.

true_admin ★★★★★
()
Ответ на: комментарий от agabekov

на 3560/3750

cisco.com/go/fn

Было ещё в CatOS на 6k, для IOS предлагает от Cat6k5 вниз до 2960. По пути проскакивают блэйды (почему-то только одного типа — софт у них одинаковый, так что должно работать на любых недревних).

Аналогичный функционал можно и отдельно на каком-нибудь серваке замутить (сам не пробовал).

frob ★★★★★
()
Ответ на: комментарий от true_admin

Там дорогая память

Конкретно у циски это всё несколько иначе устроено. Память для портов — это буфер под пакеты и он может быть как выделенный для одного порта так и расшаренный.

Однако всё это шибко оффтопично для темы про ntpd. Коль охота: пингани — расскажу подробнее.

frob ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.