Skip to main content

CERT | Computer Emergency Response Team della comunità dell'istruzione e della ricerca

CERT | Computer Emergency Response Team della comunità dell'istruzione e della ricerca
GARR CERT

Pesanti attacchi DDoS causati da NTP reflection sulla rete GARR

Pesanti attacchi DDoS causati da NTP reflection sulla rete GARR

In questi ultimi giorni la rete GARR sta subendo numerosi e ripetuti tentativi di attacchi DDoS che sfruttano una vulnerabilita' di configurazione del protocollo NTP (Network Time Protocol) che consente la riflessione moltiplicata dei pacchetti causando DoS e DDoS sulla rete.

Ai fini di mitigare l'attacco, che potrebbe saturare facilmente la banda e impedire di fatto tutte le connessioni, vi preghiamo di leggere le istruzioni sotto riportate e apportare tutte le modifiche necessarie nella vostra rete di competenza.

L'attacco sfrutta principalmente vulnerabilita' di configurazione in router e switch, specialmente quelli di accesso alla rete GARR, che sono particolarmente strategici per la connettivita' generale di un ente. Sono sfruttati, anche se in misura minore, anche i singoli host della rete che hanno il protocollo NTP attivato (e configurato di "default").

Istruzioni

L'attacco si basa sul protocollo ntp: l'aggressore invia pacchetti con IP sorgente falso che interrogano (comando monlist) i vostri server sulla porta 123.
Il traffico di risposta è molto maggiore dell'interrogazione (amplificazione fino a 200 volte) e viene inviato alla vittima anche su porte diverse dalla 123.

NOTA BENE: l'attacco funziona anche in IPv6, per cui è opportuno provvedere al filtraggio anche in IPv6 qualora l'host interessato sia dual stack

NOTA BENE 2: Gli host interessati possono essere anche router, per cui le azioni possibili sono diverse

Cosa fare se il server è un router

- si può disabilitare il servizio ntp (anche solo temporaneamente per riguadagnare accesso al router nel caso in cui la cpu è in saturazione)
- si può restringere il traffico ntp alle interrogazioni verso soli server leciti e non affetti dal ddos (vedi oltre)
- si può configurare un filtro sul control plane in modo da non dover processare il traffico da tutti i server con cui il router non deve scambiare traffico ntp

In caso di necessità potete contattare il GARR-NOC
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. 06 49622550

Esempi

- configurare una ACL specifica sul router per restringere l'accesso alla porta ntp incoming (udp 123) solo ai server ntp trusted che utilizzate per sincronizzare.

Se decidete di proteggere con la ACL l'intera LAN, ricordatevi di includere nella lista anche quei server che spesso sono preconfigurati sui PC/Mac, per esempio quelli della Apple (time.euro.apple.com) per indrizzo IP.Esempi nei link sotto.

esempio di alcuni trusted ntp server:

INRIM           APPLE
193.204.114.232   17.72.148.52
193.204.114.233   17.72.148.53

 - per i router/switch con JunOS:

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10613&actp=SUBSCRIPTION

- per i router/switch CISCO:

Cosa fare se il server è un host

per gli host, aggiornare il demone ntp almeno alla versione 4.2.7p26 e/o aggiungere queste righe alla configurazione

restrict default noquery
restrict localhost
restrict 192.168.0.0 netmask 255.255.0.0

la terza riga ovviamente va modificata.

Riferimenti

Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT