Tấn công DDOS có lẽ là vấn đề nhiều doanh nghiệp gặp phải trong những năm gần đây mình sẽ giới thiệu các ban cách bảo mật trước tấn công DDOS.
Làm thế nào để bảo mật NTP khi bạn thuê máy chủ (server) trước các đợt tấn công DDOS.Có thể nói Network time protocal (NTP) server thường xuyên được sử dụng để phản xạ và khuếch đại các gói tin UDP giả mạo đến mục tiêu cần tấn công DDOS. Các cuộc tấn công đang phát triển về tần suất và quy mô gây ra rắc rối lớn cho các nhà cung cấp dịch vụ internet, các tổ chức lưu trữ và một số trang game online.
Các máy chủ NTP cung cấp monlist command là điều đặc biệt phiền phức gây ra việc khuếch đại các gói tin ảnh hưởng rất lớn đến hệ thống mạng.
Lỗ hỏng NTP máy chủ được ghi nhận có mã CVE-2013-5211 hoặc VU#348126, hay còn gọi là tấn công khuếch đại dùng ntpdc monlist command. Lỗ hỏng này thực chất không phải là lỗ hỏng mà là một tính năng của NTP server nhưng bị lợi dụng để gây hậu quả lớn.
Tính năng monlist của NTP server là 1 danh sách các máy tính kết nối đến NTP server. Khi nhận được request yêu cầu cung cấp monlist, NTP server sẽ vui vẻ cung cấp các danh sách các máy tính kết nối đến NTP server mà không cần quan tâm xem ai đã tạo request. Cứ có hỏi là sẽ được trả lời.
Ở đây chúng ta thấy rõ là vấn đề mà kẻ xấu lợi dụng để gây khuếch đại. Chỉ 1 request nhỏ gửi đi server sẽ sinh ra 1 danh sách với kích thước lớn hơn rất nhiều so với request ban đầu. Các request được gửi đi từ máy hacker được giả mạo source ip thành ip của nạn nhân, trong khi máy nạn nhân không gửi đi bất kỳ request nào.
Việc bảo mật NTP server trong hệ thống mạng của bạn không chỉ dừng lại ở việc nó không tham gia tấn công vào mạng khác mà còn giúp bạn tiết kiệm được thời gian và chi phí khi có vấn đề gây ra cho hệ thống mạng của bạn.
Bạn có thể sử dụng việc thuê máy chủ ảo để hạn chế tấn công bằng DDOS cho doanh nghiệp mình
Bước 1. Kiểm tra bất kỳ máy chủ NTP trong mạng của bạn có đáp ứng với lệnh monlist không? Trang openntpproject.org/ đã khảo sát các máy chủ NTP trên mạng internet và đưa ra một giải pháp, một script nmap đưa ra cái nhìn toàn diện về hiện trạng hệ thống mạng, kiểm tra máy chủ NTP từ một máy cá nhân bằng lệnh:
$ ntpdc -n -c monlist Hoặc $ ntpq -c rv
Trong đó a.b.c.d là IP của NTP server. Máy chủ NTP sẽ trả về máy gửi đến nó 1 list danh sách các kết nối đến nó.
Bước 2. Giảm thiểu các tiếp xúc hệ thống mạng của bạn với các máy chủ NTP không cần thiết.
Bước 3. Các máy chủ NTP còn lại phải được cách ly bằng firewall, làm như vậy bạn có thể ngăn chặn các truy cập không cần thiết đến NTP server nhưng điều này cũng gây ảnh hưởng đến các dịch vụ hợp pháp khác, bạn phải làm điều này một cách cẩn thận.
Bước 4. Nếu có thể upgrade phiên bản NTP lên NTP-4.2.7p26 hoặc sau đó, phiên bản này loại bỏ các lệnh monlist.
Bước 5. Với các phiên bản cũ hơn thì có thể add 'disable monitor' trong file ntp.conf
Bước 6. Team Cymru cung cấp các template cấu hình an toàn cho Cisco IOS, Juniper JUNOS và ntpd tại
team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html
Bước 7. Cho những hệ thống khác thì xin tư vấn ý kiến từ đối tác triển khai cho bạn để được hỗ trợ thêm nhé .
0 nhận xét:
Đăng nhận xét