আইপিটিবেলে এনটিপি প্রতিবিম্ব আক্রমণগুলির সাথে মোকাবিলা করা

16

আমরা আমাদের সমষ্টিযুক্ত সার্ভারগুলিতে একটি এনটিপি প্রতিবিম্ব / পরিবর্ধনের আক্রমণ নিয়ে কাজ করছি। এই প্রশ্নটি এনটিপি প্রতিবিম্ব আক্রমণগুলিতে প্রতিক্রিয়া জানাতে নির্দিষ্ট এবং সাধারণভাবে ডিডোএস-তে নির্দেশিত নয়।

ট্রাফিক এখানে:

রাউটার নেটওয়ার্ক ট্রাফিক গ্রাফ

এটি আমাদের রাউটারে কিছুটা সিপিইউ মন্থন করছে:

রাউটার সিপিইউ ব্যবহার গ্রাফ

দুর্ভাগ্যক্রমে এটি আমাদের প্রবাহের সরবরাহকারীকে ট্র্যাফিককে ব্ল্যাকহোল করে দেওয়ার পক্ষে যথেষ্ট বড় নয়, যার অর্থ এটি আমাদের কাছে চলে যাচ্ছে।

আমরা এনটিপি ট্র্যাফিককে ব্লক করতে নীচের নিয়মটি ব্যবহার করেছি, যা 123 পোর্ট থেকে উত্পন্ন হয়:

-p udp --sport 123 -j DROP

এটি আইপিটিবেলে প্রথম নিয়ম।

আমি অনেক অনুসন্ধান করেছি এবং এনটিপি প্রতিবিম্ব আক্রমণকে প্রশমিত করতে আইপিটবেলগুলি কীভাবে ব্যবহার করতে হয় সে সম্পর্কে খুব বেশি তথ্য আমি খুঁজে পাই না। এবং কিছু তথ্য সেখানে ফ্ল্যাট আউট ভুল বলে মনে হচ্ছে। এই আইপিটিবেলসের নিয়মটি কি সঠিক? আমাদের উজানের নেটওয়ার্ক সরবরাহকারীর সাথে যোগাযোগ করা ছাড়া আমরা এনটিপি প্রতিবিম্ব / পরিবর্ধনের আক্রমণকে প্রশমিত করতে আরও কিছু যুক্ত করতে পারি বা করতে পারি?

এছাড়াও: যেহেতু এই আক্রমণকারীরা অবশ্যই এমন নেটওয়ার্ক ব্যবহার করবে যা

  • প্যাকেটে আইপি ঠিকানার স্পোফিংয়ের অনুমতি দিন
  • আনপ্যাচড, সার্কাস 2010 এনটিপি কোড রয়েছে

এই আইপি ঠিকানাগুলিতে আমরা কী এমন কোনও বিশ্বব্যাপী ক্লিয়ারিংহাউসকে প্রতিবেদন করতে পারি, যাতে তারা স্পুফড প্যাকেটগুলির অনুমতি দেওয়া বন্ধ করে এবং তাদের এনটিপি সার্ভারগুলিকে প্যাচ করতে স্থির হয়?

ntp  ddos 
জেফ আতউড
সূত্র
10
হ্যাঁ iptables নিয়মটি সঠিক, তবে আপনার পাইপের শেষে, আপনার সার্ভারে, প্যাকেট ফিল্টার চালানো, পাইপটি পূরণ করতে বাধা দেবে না, আরও পটভূমির জন্য দেখুন: সার্ভারফল্ট / প্রশ্ন
এইচবিউইজন

উত্তর:

20

মূলত, DDoS আক্রমণটি ইন্টারনেটে আপনার যে কোনও পাইপ পূরণ করতে পরিচালিত হলে (যা কোনও ইউডিপি প্রতিফলনের আক্রমণ - পাইপটি পূরণ করার উদ্দেশ্যে) তা পূরণ করার পক্ষে আপনার ভাগ্য অপরিবর্তিত। যদি আপনার আপস্ট্রিম লিঙ্কটি ট্রাফিকের 1GBS নিতে পারে এবং লিঙ্কটি নীচে যেতে মোট 2 জিবিপিএস ট্রাফিক রয়েছে (তারপরে) এর অর্ধেক রাউটারের দ্বারা ফেলে দেওয়া হবে বা প্যাকেটগুলিকে লিঙ্কের নীচে রেখে দিবে। আক্রমণকারী তাদের আক্রমণভাগের অর্ধেক যান চলাচল করে না সে বিষয়ে যত্নশীল নয়, তবে আপনার গ্রাহকরা করেন: একটি টিসিপি সংযোগে 50% প্যাকেটের ক্ষতি সেই সংযোগগুলির কার্য সম্পাদন এবং বিশ্বাসযোগ্যতার জন্য ভয়ানক, ভয়ানক কাজ করতে চলেছে।

ভলিউম্যাট্রিক ডিডোএস আক্রমণ বন্ধ করার জন্য কেবল দুটি দুটি উপায় রয়েছে:

  1. পর্যাপ্ত পরিমাণে পাইপ রয়েছে যা আক্রমণ ট্র্যাফিক এটি পূরণ করে না।
  2. পাইপের নীচে যাওয়ার আগে আক্রমণ প্যাকেটগুলি থামান।
  3. একটি পৃথক আইপি ঠিকানায় স্থানান্তর করুন যা এনটিপি প্রতিফলনের আক্রমণে নেই।

আইপটিবেলে তাদের ব্লক করা স্কোয়াট করবে না, কারণ ততক্ষণে আক্রমণটির ট্র্যাফিক ইতিমধ্যে আইনী ট্র্যাফিককে ছাড়িয়ে গেছে এবং এটি মেঝেতে ফেলে দেওয়া হয়েছে, সুতরাং আক্রমণকারী জিতেছে। যেহেতু আপনি (সম্ভবত) আপট্রিম রাউটারটি নিয়ন্ত্রণ করেন না বা আক্রমণটি ট্রাফিককে এগিয়ে দিচ্ছে এমন সুইচ যেহেতু হ্যাঁ, আপনাকে আপনার আপস্ট্রিম নেটওয়ার্ক সরবরাহকারীর সাথে যোগাযোগ করতে হবে এবং আক্রমণে ট্র্যাফিকটিকে আপনার নেটওয়ার্কে পৌঁছানো বন্ধ করতে তাদের কিছু করতে হবে লিঙ্ক, তা হোক না কেন

  • আক্রমণ বন্দরে সমস্ত ট্র্যাফিক ব্লক করুন (বেশিরভাগ আইএসপি তাদের কোলো গ্রাহক অ্যাক্সেস রাউটারগুলিতে করতে ইচ্ছুক নয় $REASONS)

  • আক্রমণটির উত্স আইপি ঠিকানাগুলি ফিল্টার করুন (এস / আরটিবিএইচ সহ আরও প্রশংসনীয়, তবে প্রতিটি সরবরাহকারীর ইতিমধ্যে উপলব্ধ এমন কিছু নয়)

  • সবচেয়ে খারাপ ঘটনা, ব্ল্যাকহোল গন্তব্য আইপি ঠিকানা

নোট করুন যে আইপি ব্ল্যাকহোলিং কেবল তখনই কাজ করে যদি আপনার অন্যান্য আইপি অ্যাড্রেসগুলি অপারেশন চালিয়ে যেতে পারে - যদি আপনার সরবরাহকারী আপনার একমাত্র আইপি ঠিকানাটিকে ব্ল্যাকহোল করে, আক্রমণকারী সফল হয়েছে কারণ আপনি ইন্টারনেট থেকে দূরে রয়েছেন, যা তারা অর্জন করার চেষ্টা করেছিল প্রথম অবস্থানে.

বোকা
সূত্র
আইএসপি গুলো কেন ট্র্যাফিক ব্লক করতে চায় না আপনার কোনও ধারণা আছে?
আন্দ্রে বোরি
4
এর অনেক কারণ রয়েছে। 1. আইএসপিগুলি ট্র্যাফিক সরবরাহ করার জন্য অর্থ প্রদান করে, এটি ব্লক করে না। ২. কেবলমাত্র উচ্চতর শেষের নেটওয়ার্কিং সরঞ্জামগুলি বড় (100G +) ট্র্যাফিক ভলিউমে লাইন-রেট পরিদর্শন করতে সক্ষম, যা ব্যয়বহুল। ৩. গ্রাহকের অনুরোধ থেকে কোনও মূল রাউটারে লাইনগুলি কনফিগার করার জন্য এটি তুচ্ছ নয়।
দোলা
5

আমি ধরে নেব আপনার কাছে আপনার আইএসপিতে একটি পাইপ রয়েছে যা আপনার নিজের রাউটার / ফায়ারওয়াল থেকে শেষ হয়। তারপরে সেই রাউটার / ফায়ারওয়ালের পিছনে আপনার নিজের মেশিন রয়েছে। আইএসপি ট্র্যাফিক অবরোধ করবে না তাই আপনার নিজেরাই এটি মোকাবেলা করতে হবে। আপনি রাউটার / ফায়ারওয়ালে লোড কমানোর সময় এর পিছনে থাকা মেশিনগুলিকে আঘাত করা বন্ধ করার জন্য রাউটার / ফায়ারওয়ালে ট্র্যাফিক ব্লক করতে চান।

আপনার নিয়মটি মানক বন্দরে কোনও এনটিপি সার্ভার থেকে আসা যে কোনও কিছু ফেলে দেওয়ার জন্য সঠিক দেখাচ্ছে। মনে রাখবেন আপনি যদি এনটিপি প্রকৃতপক্ষে ব্যবহার করেন তবে আপনার ফায়ারওয়াল বিধিগুলিতে আপনার ছিদ্র করতে হবে

যদি আপনার ফায়ারওয়াল সংযোগ ট্র্যাকিং ব্যবহার করে (বেশিরভাগ ক্ষেত্রে) তবে আপনি সংযোগ ট্র্যাকিং মেশিনারে পৌঁছানোর আগে প্যাকেটগুলি ফেলে দেওয়ার জন্য "কাঁচা" টেবিলটি ব্যবহার করতে পারেন।

iptables -t raw -A PREROUTING -p udp --sport 123 -j DROP

পিটার গ্রিন
সূত্র
1

দেখে মনে হচ্ছে আমরা এনটিপি অপব্যবহারের জন্য আইপিগুলি প্রতিবেদন করতে পারি (এবং আশা করি, এনটিপি প্যাচিং)

http://openntpproject.org/

নেটওয়ার্কগুলির প্রতিবেদন করার জন্য যা স্পোফড আইপিগুলিকে অনুমতি দেয়, আমি তেমন কিছু পাই না :

আমাদের পরিমাপগুলি প্রমাণ করে যে আমরা জরিপ করেছি স্বায়ত্তশাসিত সিস্টেম এবং নেটব্লকগুলির প্রায় 25% এর মধ্যে স্পোফিং এখনও প্রচলিত। আরও গুরুত্বপূর্ণ বিষয়, স্পোফড ট্র্যাফিকের জন্য একটি একক প্রবেশ পয়েন্ট আক্রমণকারীদের পুরো ইন্টারনেটে স্পোফড ট্র্যাফিক প্রেরণের মাধ্যম সরবরাহ করে। আইএসপিগুলি ফিল্টারিং [আরএফসি 2827] নিয়োগ করতে পারে যাতে তাদের বহির্মুখী ট্র্যাফিক অপ্রয়োজনীয় না হয় তা নিশ্চিত করতে।

সম্ভবত একমাত্র পদ্ধতিটি সরাসরি আইএসপির সাথে যোগাযোগ করা?

জেফ আতউড
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.