World's largest DDoS strikes US, Europe

Stéphane Bortzmeyer CC BY-SA 2/02/2014

Les attaques par réflexion utilisant NTP

Sauf si vous n’êtes abonné à aucune liste de diffusion, aucun canal IRC, aucun rézosocio, aucun flux de syndication, aucun salon XMPP, bref, sauf si vous êtes coupé de tous les moyens d’informations modernes, vous savez que, depuis le mois de décembre 2013, les attaques par réflexion utilisant le protocole #NTP ont connu une hausse spectaculaire et ont complètement chassé des médias les « vieilles » attaques DNS.

►http://www.bortzmeyer.org/ntp-reflexion.html

#sécurité #déni_de_service

#Online.net

Stéphane Bortzmeyer CC BY-SA

BigGrizzly @biggrizzly CC BY-NC-SA 11/02/2014

Les braves gars de Online utilisent ton post dans le texte de leurs abuses.
Bonjour,
votre machine XXX.XXX.XXX.XXX héberge un serveur NTP qui permet des attaques par amplification,
merci de limiter les requêtes autorisées sur votre serveur pour empêcher tout DDoS depuis votre machine.
Il faut impérativement corriger cette faille où nous serons dans l’obligation de suspendre votre machine pour stopper tout DDoS sortant de celle-ci.
Vous trouverez une explication détaillée du problème sur ►http://www.bortzmeyer.org/ntp-reflexion.html
N’hésitez pas à contacter le support Online.net pour plus d’informations.
Le Service Abuse Online.net
La semaine dernière, j’ai vérifié tous mes linux et en particulier leurs firewalls... Je n’avais pas pensé à vérifier les hôtes ESX, dont le serveur NTP est en écoute par défaut, je le découvre. Et il me semble que ok, il est en écoute, mais il n’est pas complice de DDOS à mon sens... il répond mal... enfin je crois, je ne suis pas allé vérifier en sniffant... Mais peut-être participe-t-il... Auquel cas des milliers de serveurs NTP vont devoir être stoppés de par le monde... car là, dans l’instant, sur cet ESX, je ne voyais pas trop quoi faire d’autre.
~# ntpdc -n -c monlist XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX : timed out with incomplete data
***Response from server was incomplete

BigGrizzly @biggrizzly CC BY-NC-SA
Stéphane Bortzmeyer @stephane CC BY-SA 11/02/2014

@BigGrizzly : ils ont bien raison :-)
Sinon, les attaques NTP grossissent : ▻http://seenthis.net/messages/226784

Stéphane Bortzmeyer @stephane CC BY-SA
BigGrizzly @biggrizzly CC BY-NC-SA 12/02/2014

Dans ESX 4.0, le « noquery » est présent dans ntp.conf... et dans la version 4.1, il a disparu... Groumf...
▻http://ar0.me/blog/en/posts/2014/01/howto-prevent-malicious-usage-of-vmware-esxi-in-ntp-reflection-attacks.html

BigGrizzly @biggrizzly CC BY-NC-SA
Stéphane Bortzmeyer @stephane CC BY-SA 27/02/2014

Et un exemple d’analyse d’une vraie attaque ▻http://www.bortzmeyer.org/attaque-ntp-en-vrai.html

Stéphane Bortzmeyer @stephane CC BY-SA

Écrire un commentaire

World’s largest DDoS strikes US, Europe

/226784