Peut-être pour faire de la publicité au prochain numéro de MISC qui est consacré aux attaques par déni de service (DoS), l'Internet vit en ce moment au rythme des nombreuses attaques par réflexion+amplification utilisant le protocole NTP. Ces attaques ont atteint des nouveaux sommets (des victimes signalent du 350, voire du 400 Gb/s mais rappelez-vous qu'il n'y a pas d'enquêtes indépendantes sur les attaques DoS).
Le principe de l'attaque est connu depuis longtemps, il est le même que pour les attaques réflexion+amplification utilisant le DNS, simplement NTP fournit typiquement un meilleur rapport d'amplification. La première alarme de la nouvelle utilisation de NTP avait été donnée par CloudFlare et par le CERT lituanien. Il y a un avis officiel
du CERT états-unien et du français.
Un exemple de récit de l'attaque contre CloudFlare dans la presse est sur BFMTV (article tout à fait sérieux) ou, en anglais, donné par ITnews (attention, semble bloqué depuis Free, cela marche depuis les autres opérateurs) ou par la BBC.
Certains opérateurs ont pris des mesures spécifiques ou bien avertissent leurs clients (cas d'Online).
Si vous gérez des serveurs, vérifiez qu'ils ne sont pas amplificateurs NTP, avec le projet OpenNTPproject.
# Configuration, pas mise à jour
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Mauvaise idée. NTP 4.2.7 est une version de développement. En particulier, pour ceux qui attendent que cette version soit publiée dans Debian, oubliez cette idée : ça n'arrivera pas.
Voilà, ça c'est la vraie solution avec la version stable de NTP. Malheureusement, ça désactive plus que seulement ce qui serait nécessaire, mais bon…
[^] # Re: Configuration, pas mise à jour
Posté par SaintGermain . Évalué à 1.
J'ai cru comprendre en première lecture que cela ne concerne que les serveurs NTP.
Mais sur ce site Understanding and mitigating NTP-based DDoS attacks, ils disent aussi de sécuriser le client ?
Les clients NTP font aussi parti du problème ?
[^] # Re: Configuration, pas mise à jour
Posté par zebra3 . Évalué à 5.
Il me semble qu'il n'y a pas de serveurs et clients en NTP, il n'y a que des nœuds.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Configuration, pas mise à jour
Posté par vlamy (site web personnel) . Évalué à 10. Dernière modification le 13 février 2014 à 14:32.
Non c'est hiérarchique NTP, avec des niveaux de serveurs de référence (strates) synchronisés avec plus ou moins de précision :
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 7.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Configuration, pas mise à jour
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
Disons que la distinction entre client et serveur, pour NTP, est floue.
Donc, sur Linux, si ps auxwww | grep ntp trouve quelque chose, vous êtes concerné.
[^] # Re: Configuration, pas mise à jour
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 2.
En principe, si on n'est pas serveur ntp, le port 123 (udp et tcp) est fermé, et même si on a un ntpd qui tourne, ça ne va pas chauffer.
[^] # Re: Configuration, pas mise à jour
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 7.
Non, c'est faux. L'implémentation de référence écoute par défaut sur le port 123. Il faut TESTER et ne pas chercher à se rassurer.
Mais c'est vrai que "sudo lsof -n -l -i:123" serait peut-être un meilleur test
[^] # Re: Configuration, pas mise à jour
Posté par 2PetitsVerres . Évalué à 9.
OMG ça retourne quelque chose !
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Configuration, pas mise à jour
Posté par Krunch (site web personnel) . Évalué à 2.
Je suis à peu près sûr que ça retourne 0 donc je sais pas si ça compte comme « quelque chose ».
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Configuration, pas mise à jour
Posté par Marotte ⛧ . Évalué à 2.
C'est vrai que c'est quand même assez déroutant, devoir faire presque systématiquement | grep -v ' grep ' c'est pas super. Après on s'étonne que des gens osent s'éloigner de la philosophie Unix et accouchent de logiciel comme systemd…
[^] # Re: Configuration, pas mise à jour
Posté par Kerro . Évalué à 2.
Pour éviter ce que tu dis, il faudrait que grep ait « conscience » qu'il s'agit de la sortie de ps, ou d'un autre truc du même genre.
[^] # Re: Configuration, pas mise à jour
Posté par Marotte ⛧ . Évalué à 2.
Merci je ne connaissais pas. Ça marche vraiment ? ;) Et oui ça reste pas très intuitif.
[^] # Re: Configuration, pas mise à jour
Posté par 2PetitsVerres . Évalué à 10.
Sinon il y a pgrep.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
# Quelle heure est il ?
Posté par Toto . Évalué à 1.
Et avec tout ça, on sait quelle heure il est ? ;-)
Avons nous une idée de l'impact, outre la bande passante utilisé, que cette attaque à pu avoir ? Par exemple serveur NTP non joignable et donc désynchro des niveaux en dessous ? Masquage d'une attaque plus complexe / ciblée ? Il doit encore être trop tôt pour le déterminer, mais je pense que ça sera intéressant à voir.
[^] # Re: Quelle heure est il ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
"outre la bande passante utilisé" Qu'est-ce que l'attaquant pourrait vouloir d'autre ? Ce n'est pas une attaque contre NTP, c'est une attaque par déni de service utilisant NTP.
[^] # Re: Quelle heure est il ?
Posté par Nicephor . Évalué à -3.
Je chipote, mais on dit débit, ou au pire capacité :)
[^] # Re: Quelle heure est il ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Débit, OK, mais capacité, non, ce n'est pas ça (débit : ce qui passe effectivement dans le tuyau, capacité RFC 5136 : ce qui pourrait passer, bande passante : vieux et ambigu, à ne pas utiliser).
[^] # Re: Quelle heure est il ?
Posté par Nicephor . Évalué à -1.
Oui, je connais la différence entre débit et capacité, mais il vaut peut-être mieux parler de capacité plutôt que de bande passante, au moins capacité ne désigne pas quelque chose d'analogique.
Le mieux étant de dire débit, là on est d'accord.
[^] # Re: Quelle heure est il ?
Posté par LeMagicien Garcimore . Évalué à 4.
Ce que Toto demande c'est, je pense, est-ce qu'on a évalué les effets de bord sur NTP de cette attaque ?
# CloudFlare vend de la protection anti DDOS
Posté par mitsurugi (site web personnel) . Évalué à 10.
Je ne nie pas la réalité de ces attaques, mais il y a un truc qui me chipote quand même. Tous ces communiqués alarmés viennent de chez cloudflare, qui, oh hasard, vend de la protection anti DDOS.
Grosso modo, ils indiquent que les DDOS, c'est le mal absolu, le cataclysme du siècle, que c'est extrêmement difficile de s'en protéger, mais que d'un autre côté, ça tombe bien, ils sont justement là pour sauver les clients de ces horreurs (pas cher, allez voir la grille tarifaire). Ca fait quand même pompier pyromane surtout que les chiffres sont toujours fournis pas CloudFlare eux mêmes. Ils auraient pu annoncer 500GBits/s ou 1Tbit/s puisque personne ne vient confirmer/infirmer cela.
Idem avec OVH. Ils ont bien communiqué sur leur protection antiDDOS, il faut bien mettre des chiffres en face.
Donc bon, je lis toujours ces communiqués avec un peu de distance, surtout que généralement:
-la cible du DDOS : on ne la connaît pas
-les raisons du DDOS : on ne les donne pas
-les sources du DDOS : encore très vague.
Donc on aurait des pirates qui lancent des attaques non ciblées à 500GB/s vers des IP quelconques pour des raisons floues?
Mouais mouais mouais.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 10.
Non, non, non, ce n'est pas vrai de dire que les seules annonces viennent des vendeurs de solutions anti-dDoS. Online a été touché aussi (et ne vend rien dans ce domaine) et a communiqué là-dessus. Même chose pour Gitoyen (j'avais mis le graphe sur mon blog. Depuis trois jours, les sirènes d'alarme sonnent partout.
"les raisons du DDOS" Les attaquants laissent rarement leurs cartes de visite avec leurs motivations dessus ("Arsène Lupin, gentleman-cambrioleur").
"les sources du DDOS" Si quelqu'un ici a un moyen de trouver les sources d'une attaque où il y a eu usurpation d'adresse IP, qu'il se signale, l'ANSSI sera ravie de l'embaucher :-)
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par mitsurugi (site web personnel) . Évalué à 7.
Comme indiqué, je ne nie pas ces DDOS. Ce sont les chiffres donnés qui me chipotent.
Concernant les raisons, j'ai du mal à croire qu'une organisation "s'amuserait" à lancer du 500GBit/s juste comme ça, pour voir. Les sources, ce n'est pas l'adresse IP bien sûr, mais l'organisation elle même.
Je serais une orga capable de lancer du 500Gbit/s, je le ferais savoir et je démolirais une cible visible pour une raison logique:
- montrer qu'on a la plus grosse
- montrer un désaccord avec la politique éditoriale du site qui tombe
mais laisser cloudflare dire: "oh on a vu 500Gbit/s sans trop comprendre pourquoi" j'assimile ça à du marketing assez malsain.
Maintenant que des gens se prennent 700Mbit dans la carte réseau, oui j'y crois complètement.
[ Et au sujet des sources de DDOS avec spoof, je suis curieux de savoir pourquoi les fabricants de routeurs/FW n'aggrègent pas les logs en big data pour retrouver ce genre d'infos. Une machine zombie dans son réseau qui va taper des NTP avec une @IP source différente de celle de son réseau d'origine ça devrait se tracker facilement. En tout cas c'est comme ça que je ferais si j'étais l'ANSSI. Mon CV est dispo pour ceux qui veulent :-) ]
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Ça tombe bien, personne ne fait ça. Il s'agit d'attaques par amplification, où l'attaquant envoie des paquets spécialement conçus à un débit relativement faible, et où le serveur utilisé comme rebond répond avec des paquets beaucoup plus gros et donc à un débit plus élevé en destination de la cible de l'attaque.
Effectivement, le fournisseur d'accès de l'attaquant pourrait détecter son attaque, à supposer que ça l'intéresse et il ait le droit et la capacité de procéder à ce genre de vérification sur le trafic. Mais comme la cible de l'attaque n'a aucun moyen de savoir d'où provient l'attaque, elle ne pourra pas demander à ce FAI.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par mitsurugi (site web personnel) . Évalué à 2.
Je sais lire, merci. Mais quelle que soit la méthode, envoyer 500Gbit/s dans une cible "pour voir" m'étonne. Ca reste énorme, même si la source n'a qu'a en générer 25x moins. Ensuite si pour toi envoyer 20Gbit/s c'est "un débit relativement faible", pourquoi pas hein, il y a sûrement plein de boîtes qui voudront t'embaucher pour gérer des débits faibles comme ceux-ci :)
A titre d'infos, certains pays sont reliés encore par des fibres de 7GB/s. Alors 20GBit/s, c'est relativement faible, hein ;)
Non. L'idée c'est d'aggréger des données. Tu n'es pas une victime qui croule sous la charge, tu es l'ANSSI qui a la remontée de beaucoup de sondes/firewalls. Or donc, tu observes en un point un énorme DDOS de plusieurs centaines de GB/s avec en source des serveurs NTP, tu as lu l'article du bortz, tu sais ce dont il s'agit. Et qu'il n'y a rien à faire du côté de la cible.
Par contre, tu regardes sur tous les autres réseaux que tu monitores les IP qui crachent des données en sortie vers des serveurs ntp avec une IP source différente de celle du réseau d'origine (puisque c'est spoofée et que l'IP source est celle de la victime). Ca tu peux le faire car tu as un maillage de firewalls/sondes suffisamment large pour espérer catcher au moins un de ces zombies: et plus le DDOS est gros, plus il y a de zombies et plus tu as de chances d'en avoir un dans un de tes réseaux. Une fois que tu as choppé le zombie, à toi l'analyse de celui-ci pour trouver le C&C qui a piloté le zombie pour lui demander de flooder la victime (via reflection NTP).
Tu bloques le canal C&C, l'attaque stoppe immédiatement.
Oui, on parle de l'ANSSI ou de ce genre de choses. S'ils n'ont pas le droit, ils doivent bien le prendre ou se débrouiller pour modifier la loi qui va bien.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Nicephor . Évalué à 1. Dernière modification le 13 février 2014 à 12:48.
Ouais, c'est faible, ya qu'a regarder les backbone d'hébergeurs comme OVH ou Online, c'est rien 20 Gbits/s.
Suffit d'avoir la main sur une cinquantaine de serveurs pour pouvoir générer ce trafic là. Bon, c'est sûr que le premier Jean-Kevin qui arrive ne pourra/saura pas faire ça, mais ce n'est pas inaccessible non plus.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par mitsurugi (site web personnel) . Évalué à 2.
Grosso modo, tu veux cracher 500MBit/s en sortie en direction d'un serveur NTP qui va l'amplifier 25x?
A 500Mbit/s tu vas exploser le pauvre serveur NTP, et je doute qu'il ait 10Gbits/ en sortie pour aller taper une cible.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Nicephor . Évalué à 1.
Je connais pas du tout NTP, donc je sais pas si un serveur ntp peut supporter autant de débit en sortie c'est vrai. Mais sinon, 400Mbit/s par serveur, c'est largement faisable au niveau réseau.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Krunch (site web personnel) . Évalué à 7.
Chacune des 50 machines controlées par l'attaquant peut répartir ses 500Mb/s sur 1000 serveurs NTP différents hein.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par KiKouN . Évalué à 6.
Sans parler que c'est un bot qui envoie l'attaque. A l'époque où les PC zombies de ces bots floodaient directement la cible. C'était environ 10 à 20 milles IPs différentes.
De plus, je ne pense que l'attaque était basé uniquement sur NTP. Il devient aussi y avoir du rebonds par DNS et quelques ICMP ( host ou port unreacheable ). Ce que j'observe actuellement est de l'order NTP 69% DNS 29% et ICMP 2%.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Gui13 (site web personnel) . Évalué à 7.
Non. Tu as 50 serveurs, chacun pouvant balancer 500mb/s vers l'internet.
Tu aggrège un petit million d'IP de serveurs NTP vulnérables, et tu les distribue sur tes 50 serveurs. Chacun va lancer des requêtes sur 20000 NTP par seconde (300 octets * 20000 = 48MB/s) et bim.
Il est évident que les 400Gb (ou les 10 dont tu parles) ne sortent pas d'un seul serveur.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Big Pete . Évalué à 2.
Sauf si le pilotage de ton armée de zombies se fait via un réseau pair à pair. Comme c'est décrit ici par exemple : https://www.usenix.org/legacy/events/hotbots07/tech/full_papers/grizzard/grizzard_html/
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par robin . Évalué à 1.
C'est un peu hors sujet, mais ça veux dire que quand je télécharge des jeux sur Steam à 25Mio/sec, cela correspond à 1/280 fois la vitesse de connexion que des pays tels que ceci peuvent avoir avec le reste du monde ???
bépo powered
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par claudex . Évalué à 3.
Si tu télécharge à 25Mio/sec, cela fait ~ 1/33, mais statistiquement, tu dois plutôt télécharger à 20Mb/sec.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par robin . Évalué à 1.
Non, non, c'est bien en méga octets, (j'aime bien la fibre
^-^)Et donc mon débit est donc bien particulièrement élevé par rapport à celui de certain pays entier !
bépo powered
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par claudex . Évalué à 3.
Mais pas les math :)
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par robin . Évalué à 2.
Ça n’empêche que je n'ai pas compris ton calcul, vu que 25MB/s * 33 = 825 MB/s, alors que 25MB*280 = 7000 MB/s = 7GB/s.
Sauf erreur de ma part, le 'B' majuscule désigne les Bytes (octets) par opposition au 'b' minuscule qui désigne les bits. Donc 'B' me semble bien équivalent à 'Mio'. J'aimerai savoir où est mon erreur.
bépo powered
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par claudex . Évalué à 3.
Pour moi, un débit est (presque) toujours annoncé en bits et non pas en byte, du coup, j'imagine qu'il s'agit de 7Gbits par secondes et non pas 7Gbytes par secondes. Et la convention "B" = "bytes", je l'ai rarement vu respectée.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par robin . Évalué à 1.
Donc mon calcul était bon, en considérant que les commentaires précédant était correctement écrit, mais tu étais parti du principe que ce n'était pas le cas.
Merci pour la précision.
bépo powered
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par claudex . Évalué à 3.
Sauf que tu annonce un débit de 25Mio/s et non pas 25Mo/s, ce qui fait 1/267.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par richardd . Évalué à 1.
Hors justement, ce sont des attaques avec amplifications, d'un facteur x10 voir environ x20 pour du NTP-AMP.
Cela veut dire que pour générer une attaque de 500Gb, il suffit à l'attaquant de générer seulement 50Gb ou 25Gb….
De plus, NTP, c'est principalement du flux UDP, donc sans connexion (on envoi les messages au petit bonheur la chance), on ne sait pas qui est réellement l'émetteur, l'adresse IP source peut-être facilement usurpé (car le destinataire ne va pas établir de connexion avec l'émetteur comme c'est le cas avec le TCP ou usurper une adresse est bien plus compliqué).
Un parallèle du protocole UDP dans la vie réelle serait l'envois de lettre simple, avec la possibilité d'inscrire l'émetteur au dos de la lettre, il n'y a aucune vérification sur l'identité et n'importe qui peut envoyer des lettres au nom du président.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Nico C. . Évalué à 2.
On peut imaginer plein de choses sur les raisons : detourner l'attention, faire un test grandeur nature de l'exploitation d'un nouveau concept, tester un enorme botnet, etc
Un mec qui veut vendre un nouveau service, il fait de la pub. Et là, il en a une magnifique…
Quand a cloudflare, ils proposent effectivement un service antiDDoS (efficace au passage puisqu'ils ne sont pas tombés) et il est logique qu'ils se retrouvent en premiere ligne quand ce genre de phenomene arrive. Idem pour le plus gros hebergeur europeen (OVH)…
Etre etonné de ca, c'est comme etre etonné que les compagnies d'assurance soient les plus a meme de chiffrer l'ensemble des degats lors d'une catastrophe naturelle.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par dj_ (site web personnel) . Évalué à 3.
Il y a aussi du chantage, j'avais vu dans le témoignage d'un pirate qu'ils contactaient un site en les menaçant de lancer un DDOS
Si le mec paie, ils laissent tomber, si le mec ne paie pas ils le ddos et comme c'est un site marchand il perd de l'argent car le site est inaccessible
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Autre opérateur qui a communiqué sur ces attaques (et ne vend pas de solutions anti-dDoS), Renater
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . Évalué à 2.
Témoignage concret: j'ai eu ce matin une attaque dirigée vers un site du réseau dont je m'occupe, pour un débit d'environ 8 Gb/s.
J'imagine que les scripts kiddies achètent de la capacité pour bombarder une cible de leur choix ? Si quelqu'un connait la manière dont ça se passe ça m'intéresse.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
C'était une attaque NTP (port source 123) ?
Quant à la manière d'aller sur le darque ouèbe (ou plutôt le darque hièrcé) pour acheter du dDoS (CaaS : Crime as a Service), on ne peut pas la raconter sur un site comme LinuxFr où il y a des mineurs.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par claudex . Évalué à 8.
Donc ça s'achète avec des Bitcoins ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . Évalué à 3.
Oui tout à fait, plus précisément:
- Heure de début: 11:26:12.563
- Heure de fin: 11:38:49.936
- Port source: 123, Port destination: 80
D'après les logs Netflow du routeur, cela fait 6800 adresses IP sources différentes, mais j'ai l'impression
que le routeur n'en a exporté qu'une petite partie (TCAM trop petite ?).
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Intéressant, le port de destination. Le serveur HTTP ne va évidemment pas pouvoir comprendre ces paquets mais l'attaquant voulait sans doute être sûr de passer les pare-feux.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Big Pete . Évalué à 1.
Les pare-feux mal foutu alors. L'attaque est en UDP si je ne m'abuse et ouvrir UDP/80 pour faire passer du http, c'est pas terrible, même si on ne veux pas faire de suivi de connexion, (ce qui n'est pas forcément déconnant), on peux se contenter d'ouvrir le TCP/80, non ?
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Tonton Benoit . Évalué à 2.
Drop le paquet n’empêchera pas l'attaque de saturer le lien.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Big Pete . Évalué à 2. Dernière modification le 14 février 2014 à 11:58.
Bah oui, je sais, mais la remarque de Stéphane portait sur le fait que l'attaquant cherchait à passer des pare-feux. C'est peut-être que des script-kiddies au final (comment on peut dire ça en français ? Un gone à recettes ? ) Par ce que du coup, ça fait une signature super simple pour déployer des filtres en amont de la cible.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . Évalué à 2.
En ce qui me concerne, j'ai effectivement un filtre à l'entrée qui droppe tout ce qui arrive sur le port 80/udp (parce
que j'ai régulièrement des attaques sur ce port).
Ca protège le reste de mon réseau, mais pas la liaison 10 Gb/s avec mon upstream (qui a quasiment été saturée).
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . Évalué à 1.
Je ferais la même remarque que l'intervenant plus haut (Big Pete): je ne pense pas que ça aide spécialement, je pense que personne ne s'amuse
à laisser ouvert 80/udp pour du HTTP.
Pour la petite histoire, précédemment j'ai aussi eu des attaques sur le port 0/udp en destination (mais ce n'était pas avec du NTP amplification).
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Le port 0 n'existant pas officiellement, je soupçonne que c'est un logiciel bogué qui ne sait pas interpréter les fragments IP et qui les affichent comme cela.
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par galactikboulay . Évalué à 3.
Effectivement, je n'ai pas percuté: ce sont des logs Netflow, et les routeurs renvoient port source et destination à 0
pour les paquets fragmentés.
J'ai retrouvé une des attaques en question, le port source était 161/udp (donc SNMP), et la taille (donc celle
du 1er paquet du flux) était à 1500, ce qui est cohérent avec le fait d'avoir de la fragmentation.
Exemple pour un attaquant X.X.X.X vers Y.Y.Y.Y
(timestamp | @IP source | @IP destination | protocol port source port dest | nb paquets du flux | taille total flux):
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par ThibG (site web personnel) . Évalué à 6.
Et ils vendent du Man in the Middle, surtout.
Ils proposent du SSL pour leurs clients (seulement les payants ? Je ne sais plus), qui s'arrête chez eux, avec aucune garantie ensuite.
Techniquement, ils ont accès à tout ce que vous envoyez/recevez sur korben.info, www.pcinpact.com, ycombinator.com, 4chan.org, et bien d'autres, y compris quand vous êtes en HTTPS, et peuvent très bien s'amuser à croiser le tout.
Perso, c'est peut-être un peu bourrin, mais je bloque tout simplement toutes leurs adresses IPs. Pour ce faire, je bloque tous les préfixes annoncés par l'AS AS13335.
Une manière d'obtenir ces adresses est d'interroger whois.radb.net :
Ceci-dit, ces données n'ont pas l'air entièrement fiable : en effet, une ou deux plages d'adresses retournées par radb ne semble pas/plus être annoncées par CloudFlare.
C'est le cas de “203.161.188.0/24”, qui est d'ailleurs vachement louche (CloudFlare aurait été un transit pour une banque à un moment ? Et c'est le seul réseau dans ce cas ?)
[^] # Re: CloudFlare vend de la protection anti DDOS
Posté par Big Pete . Évalué à 3. Dernière modification le 14 février 2014 à 17:19.
Je crois que les chiffres sont trompeurs en raison du caractère distribué de l'attaque, qui est non seulement distribué du coté de l'émetteur, mais aussi du coté de la cible.
Je vais tenter de faire un calcul simple et sûrement faux pour illustrer et expliquer ce que je pense :
Cloudflare a 24 centres de données réparti dans le monde (disons, 24 points de présence) Ces 24 points sont sûrement connectés localement aux réseaux régionaux (fournisseurs d’accès, hébergeurs etc …). Et y annonce les mêmes plages d’adresses, même si elles correspondent a des infrastructures différentes, mais qui fournissent le même service (En faisant par exemple du BGP anycast). C'est d'ailleurs ce système qu'ils mettent en avant dans leur offre de service anti-DDOS.
Quand ils annoncent 400 Gb/s de débit sur l'attaque, ils doivent faire la somme des débits sur l'ensemble des points de présence. Ce qui fait une moyenne d'environ 16 Gb/s par point de présence. Ce qui semble déjà plus "normal", même si ça reste énorme.
Si on considère qu'une machine utilisé en réflecteur ntp a une capacité de 100Mb/s, il en faut donc 160 par secteur. (en moyenne) et donc (en gros) 3840 en tout. Ce qui ne semble pas déconnant vu le nombre de serveur NTP potentiellement vulnérables et le facteur d'amplification.
Ils ont publié dans l'article suivant la liste des sources du DDOS par AS. Si on en fait la somme on tombe sur 4529 sources avec une moyenne de débit de 87Mb/s par serveurs. Ça semble aller dans le sens de ce raisonnement.
Surtout si on compare la carte de leurs points de présences avec celle des source de l'attaque dans l'article que je cite précédemment.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
# Et là...
Posté par Raoul Volfoni (site web personnel) . Évalué à 3.
Plouf le serveur !
# Test de ses serveurs
Posté par Wawet76 (site web personnel) . Évalué à 2.
Le site Open NTP Project n'est vraiment pas très clair je trouve.
En gros avec ntpd sur des Debian à jour, il y a quelque chose à faire ?
[^] # Re: Test de ses serveurs
Posté par Nico C. . Évalué à 2.
Oui, la derniere version de NTP sous debian est a reconfigurer. Je viens de le faire sur mes serveurs.
Et comme le dit Tanguy Ortolo , il faut ajouter "disable monitor" dans la conf et pas seulement attendre une maj de ntp qui n'arrivera pas.
Effectivement, le site openntp project a une page d'explication plutot mauvaise car il faut bien tester sur l'IP locale (ou publique) du serveur et non pas sur 192.0.2.1
[^] # Re: Test de ses serveurs
Posté par Wawet76 (site web personnel) . Évalué à 2.
Remplacer l'ip donnée en exemple c'est pas la mort non plus, ça j'avais trouvé quand même.
Non ce qui est gênant c'est qu'ils ne disent pas comment interpréter le résultat.
Bref je vais changer la config sur mes serveurs après avoir lu à quoi sert cette option.
Je comprends que Debian ne mettent pas à jour la version de NTP, mais ils ne peuvent pas changer le fichier de conf par défaut ?
[^] # Re: Test de ses serveurs
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
C'est inutile, le fichier de configuration par défaut n'est pas vulnérable à cela.
[^] # Re: Test de ses serveurs
Posté par Wawet76 (site web personnel) . Évalué à 0.
Un des tests indiqués sur OpenNTPProject (la commande avec -c monlist) me renvoie des données avant la modification et plus ensuite.
Bref c'est ce qu je disais : le test pour savoir si on peut contribuer ou non aux DDOS n'est pas clair. C'est quand même rassurant de savoir que la config par défaut ne pose pas problème.
Perso je n'utilise pas le monitoring donc je vais le virer dans le doute. :)
[^] # Re: Test de ses serveurs
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Ce que tu avais modifié ta configuration pour retirer la restriction
noquery, la rendant ainsi vulnérable.[^] # Re: Test de ses serveurs
Posté par Wawet76 (site web personnel) . Évalué à 1. Dernière modification le 13 février 2014 à 17:14.
En fait j'avais fait le test en local.
La configuration par défaut bloque les requêtes, sauf depuis 127.0.0.1 et ::1
Le site de Stéphane donné en dessous précise bien de faire le test depuis une autre machine :)
[^] # Re: Test de ses serveurs
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
Pour les instructions précises, avec test et tout, sur Unix, cf. http://www.bortzmeyer.org/ntp-reflexion.html
[^] # Re: Test de ses serveurs
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Pas forcément. La configuration par défaut sous Debian n'est pas vulnérable à cette attaque (ou plutôt, ne permet pas de servir de rebond pour cette attaque, comme vous l'aurez compris). En revanche, les configurations modifiées, où la restriction
noquerya été enlevée, sont vulnérables.[^] # Re: Test de ses serveurs
Posté par Nico C. . Évalué à 0. Dernière modification le 13 février 2014 à 17:15.
J'ai installé NTP sur mes serveurs debian 7 sans aucune modification et ils repondent positivement au test…
Le fichier de conf par defaut est le suivant :
[edit] Je viens de me rendre compte que j'ai fait le test en local et non a distance. Il est probable que le "restrict" suffise a bloquer la vulnerabilité. Quoiqu'il en soit, j'ai ajoute le disable monitor et tout va bien[/edit]
[^] # Re: Test de ses serveurs
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
Depuis localhost, évidemment, mais pas depuis le reste du monde, donc non, ta configuration n'est pas vulnérable.
# Détails techniques
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Depuis, CloudFlare a publié quelques détails techniques intéressants.
[^] # Re: Détails techniques
Posté par GG (site web personnel) . Évalué à 3.
Je vois que OVH est troisième, derrière deux réseaux Chinois.
Il faudrait savoir, pour OVH, quel est la part correspondant aux lignes ADSL.
A+
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# FIltrer NTP en u32...
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Pour ceux et celles qui n'ont vraiment rien d'autre à faire, une solution compliquée et fragile (mais cool techniquement) pour empêcher que son serveur NTP soit utilisé comme réflecteur/amplificateur, utilisant Netfilter et son module u32
[^] # Re: FIltrer NTP en u32...
Posté par claudex . Évalué à 3.
Ou, comme dit dans l'article, qui n'ont pas la main sur les machines qu'ils hébergent.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: FIltrer NTP en u32...
Posté par Anonyme . Évalué à 3. Dernière modification le 16 février 2014 à 14:36.
On peut aussi implémenter BCP38.
Sur un routeur GNU/Linux il y a deux manière de faire :
net.ipv4.conf.default.rp_filterà 1 (à la place de default, on peut aussi mettre le nom d’une interface spécifique) ;iptablesrécents (linux 3.3 etiptables1.4.13) :iptables -t raw -A PREROUTING -i <interface> -m rpfilter --invert -j DROP.La première solution ne fonctionne qu’en IPv4 et est dépréciée, la seconde ne fonctionnera pas sous Debian Wheezy puisque le noyau est trop vieux (cependant, la version d’iptables est bonne donc un noyaux backporté fera l’affaire).
Par contre, c’est le genre de chose que j’aurai aimé trouver plus facilement en faisant des recherches. Malheureusement, j’ai du fouiller un peu avant de trouver une documentation.
Voilà les référence que j’ai touvé :
[^] # Re: FIltrer NTP en u32...
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
Euh, cela n'a rien à voir. Là, on discutait de ce qu'on pouvait faire lorsqu'on est la victime d'une attaque ou bien lorsqu'on est le réflecteur. BCP 38 est ce que peuvent faire les opérateurs qui hébergent l'attaquant. C'est certainement très important mais, en attendant que tout le monde le fasse, il faut bien prendre des mesures contre les réflecteurs, et pour protéger les victimes.
[^] # Re: FIltrer NTP en u32...
Posté par Yvan Gosset . Évalué à 0.
Merci pour cette réponse :)
(je cherchais partout de la doc complète sur rp_filter)
[^] # Re: FIltrer NTP en u32...
Posté par oinkoink_daotter . Évalué à 2.
Sur une machine client ou un serveur lambda, je ne vois pas l'intérêt de déployer tout le merdier NTPd alors qu'un bête ntpdate régulier suffit ?
J'ai raté un truc ?
[^] # Re: FIltrer NTP en u32...
Posté par jben . Évalué à 4.
Oui. Avec des
ntpdaterégulier tu as des saut d'horloge, et ça provoque des problèmes. Entre les taches exécutés deux fois, ou non exécutés les compilations qui se basent sur l'heure de modifications, les sauvegardes qui se basent sur l'heure de modification, les clients mails, et plein d'autres choses.Bref dès que tu fais un saut d'horloge c'est s'exposer à plein de problèmes, dont en plus on ne comprends pas immédiatement la cause.
ntpdralenti ou accélère l'horloge (avec un rapport 1/2000 de mémoire) pour rester synchronisé sans faire de saut.Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.