Re: [freebsd] DDOS NTPD
в tcpdump'e 10:29:52.345940 IP (tos 0x0, ttl 69, id 0, offset 0, flags [DF], proto UDP (17), length 36) 109.163.232.229.23756 XXX.XXX.XX2.67.123: [no cksum] NTPv2, length 8 Reserved, Leap indicator: (0), Stratum 0 (unspecified), poll 3s, precision 42 Root Delay: 0.00 [|ntp] Хз как распаковать запрос и вычислить жертву. В итоге жертве идет куча ответов по ntp В ntpd.conf: ... restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict -6 ::1 disable monitor Это мало помогает, если сервер open NTP и входит в пул NTP.org -- Vladislav V. Prodan System Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE
Re: [freebsd] DDOS NTPD
10.02.2014 10:35, Vladislav V. Prodan пишет: в tcpdump'e 10:29:52.345940 IP (tos 0x0, ttl 69, id 0, offset 0, flags [DF], proto UDP (17), length 36) 109.163.232.229.23756 XXX.XXX.XX2.67.123: [no cksum] NTPv2, length 8 Reserved, Leap indicator: (0), Stratum 0 (unspecified), poll 3s, precision 42 Root Delay: 0.00 [|ntp] Хз как распаковать запрос и вычислить жертву. В итоге жертве идет куча ответов по ntp В ntpd.conf: ... restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict -6 ::1 disable monitor Это мало помогает, если сервер open NTP и входит в пул NTP.org Мне помогло, сервер настроен на отдельный NTP https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks -- Alexander
Re: [freebsd] DDOS NTPD
Hello, Vladislav V. Prodan! On Mon, Feb 10, 2014 at 10:35:30AM +0200 ad...@support.od.ua wrote about Re: [freebsd] DDOS NTPD: в tcpdump'e 10:29:52.345940 IP (tos 0x0, ttl 69, id 0, offset 0, flags [DF], proto UDP (17), length 36) 109.163.232.229.23756 XXX.XXX.XX2.67.123: [no cksum] NTPv2, length 8 Reserved, Leap indicator: (0), Stratum 0 (unspecified), poll 3s, precision 42 Root Delay: 0.00 [|ntp] Хз как распаковать запрос и вычислить жертву. В итоге жертве идет куча ответов по ntp В ntpd.conf: ... restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict -6 ::1 disable monitor Это мало помогает, если сервер open NTP и входит в пул NTP.org Какая версия ntp у вас используется? И ports/net/ntp-devel пробовали? -- Lystopad Aleksandr
Re: [freebsd] DDOS NTPD
10 февраля 2014 г., 16:44 пользователь Lystopad Aleksandr l...@laa.zp.uaнаписал: P.S. Возможно я погорячился, что правила в ntpd.conf не работают... Но как вычислить жертву в таких запросах актуален. IMHO: Дык а разве не с src ip жертвы летит поток запросов? То есть если дофига запросов к ntp -- то явно подставной ип-адрес жертвы в src ip запросов. Trafshow показывал множественные запросы к жертве: lh25767.voxility.net,23756 и к IP из сети 37.187.0.0 (особенности трафшоу) Сейчас это имя не ресолвится. Я поэтому и решил, что они как-то хитро передавали запрос и рикошетом уходило жертве. Теперь я смотрю список источников, которые долбили мои NTP: 37.187.133.51 109.163.232.229 209.212.144.112 72.20.46.22 174.36.245.59 174.92.158.198 50.23.91.144 212.219.193.236 74.208.146.18 69.31.20.75 119.252.190.33 Первый IP очень похож на жертву. Попутный вопрос к присутствующим: А вы фильтруете вход изнутри вашей сети, чтоб приходили src только из вашего диапазона сетей? -- Vladislav V. Prodan System Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE
Re: [freebsd] DDOS NTPD
On 02/10/2014 04:11 PM, Vladislav V. Prodan wrote: Попутный вопрос к присутствующим: А вы фильтруете вход изнутри вашей сети, чтоб приходили src только из вашего диапазона сетей? Да. BCP38 никто не отменял.
Re: [freebsd] DDOS NTPD
10 февраля 2014 г., 19:04 пользователь Владимир Друзенко v...@unislabs.comнаписал: 10.02.2014 19:11, Vladislav V. Prodan пишет: Trafshow показывал множественные запросы к жертве: lh25767.voxility.net,23756 и к IP из сети 37.187.0.0 (особенности трафшоу) trafshow -a32 пробовали? Спасибо, записал в записную книжку. -- Vladislav V. Prodan System Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE
Re: [freebsd] DDOS NTPD
On 11.02.2014 00:38, Vladislav V. Prodan wrote: Попутный вопрос к присутствующим: А вы фильтруете вход изнутри вашей сети, чтоб приходили src только из вашего диапазона сетей? Разумеется. И вход снаружи, чтобы приходили только публично маршрутизируемые src и при этом НЕ из нашего диапазона сети. Простите, вы в таблицу правил firewall загнали FV ? Нет, этого не требуется. Публично маршрутизируемые адреса все те, что не приватные/shared/multicast/подобное, сверять с full view непрактично.
Re: [freebsd] DDOS NTPD
31 декабря 2013 г., 15:10 пользователь Andrey ss25_sat...@ukr.net написал: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 Вдогонку. С трёх серверов сняли по 200-250 Мбит/трафа. Кому патчить лень - можете просто добавить в конфиг disable monlist. Кстати, странно, что данного способа в недавнем SA не указано.
Re: [freebsd] DDOS NTPD
On 31.12.2013 18:39, Slawa Olhovchenkov wrote: On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 эм, а 10 rps нынче относят к _DDOS_? серьезно? DDOS это типа у того, на кого ответыпойдут с ntpd, настроенного, как публичный. Размер ответа там и не с одного дырявого сервера.. -- Eugene
Re: [freebsd] DDOS NTPD
по типу прошлых атак , которые использовали ответ днс сервера. http://www.xakep.ru/post/60346/ 1 января 2014 г., 18:23 пользователь Eugene V. Boontseff eug...@home.wdc.spb.ru написал: On 31.12.2013 18:39, Slawa Olhovchenkov wrote: On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 эм, а 10 rps нынче относят к _DDOS_? серьезно? DDOS это типа у того, на кого ответыпойдут с ntpd, настроенного, как публичный. Размер ответа там и не с одного дырявого сервера.. -- Eugene
Re: [freebsd] DDOS NTPD
On 01.01.2014 21:07, Vasiliy P. Melnik wrote: по типу прошлых атак , которые использовали ответ днс сервера. http://www.xakep.ru/post/60346/ Вероятно. И похоже, кто-то пытается опять что-то подобное провернуть - у меня тоже эта хрень сыплется день третий как: 22:13:11.196984 IP 85.227.172.216.123 89.223.102.170.123: NTPv2, Reserved, length 8 22:13:11.200094 IP 85.227.172.216.123 89.223.110.23.123: NTPv2, Reserved, length 8 22:13:11.200323 IP 37.48.70.72.123 89.223.110.7.123: NTPv2, Reserved, length 8 22:13:11.213738 IP 85.227.172.216.123 89.223.110.23.123: NTPv2, Reserved, length 8 22:13:11.214464 IP 85.227.172.216.123 89.223.102.170.123: NTPv2, Reserved, length 8 22:13:11.225677 IP 119.81.38.68.123 89.223.110.24.123: NTPv2, Reserved, length 8 22:13:11.228805 IP 37.48.70.72.123 89.223.110.7.123: NTPv2, Reserved, length 8 22:13:11.229226 IP 85.227.172.216.123 89.223.110.23.123: NTPv2, Reserved, length 8 22:13:11.235652 IP 79.175.215.86.123 89.223.104.81.123: NTPv2, Reserved, length 8 22:13:11.241336 IP 86.89.176.25.123 89.223.110.1.123: NTPv2, Reserved, length 8 22:13:11.243684 IP 37.48.70.72.123 89.223.110.25.123: NTPv2, Reserved, length 8 22:13:11.243780 IP 85.227.172.216.123 89.223.102.170.123: NTPv2, Reserved, length 8 22:13:11.251006 IP 86.89.176.25.123 89.223.110.1.123: NTPv2, Reserved, length 8 22:13:11.258095 IP 63.209.37.30.123 89.223.110.5.123: NTPv2, Reserved, length 8 только судя по тому, что сообщений о падении тырнета нет, у них не очень получается. 1 января 2014 г., 18:23 пользователь Eugene V. Boontseff eug...@home.wdc.spb.ru написал: On 31.12.2013 18:39, Slawa Olhovchenkov wrote: On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 эм, а 10 rps нынче относят к _DDOS_? серьезно? DDOS это типа у того, на кого ответыпойдут с ntpd, настроенного, как публичный. Размер ответа там и не с одного дырявого сервера.. -- Eugene -- Eugene
Re: [freebsd] DDOS NTPD
Собственно, здесь написали уже: http://www.xakep.ru/post/61832/default.asp On 01.01.2014 22:17, Eugene V. Boontseff wrote: On 01.01.2014 21:07, Vasiliy P. Melnik wrote: по типу прошлых атак , которые использовали ответ днс сервера. http://www.xakep.ru/post/60346/ Вероятно. И похоже, кто-то пытается опять что-то подобное провернуть - у меня тоже эта хрень сыплется день третий как: 22:13:11.196984 IP 85.227.172.216.123 89.223.102.170.123: NTPv2, Reserved, length 8 22:13:11.200094 IP 85.227.172.216.123 89.223.110.23.123: NTPv2, Reserved, length 8 22:13:11.200323 IP 37.48.70.72.123 89.223.110.7.123: NTPv2, Reserved, length 8 22:13:11.213738 IP 85.227.172.216.123 89.223.110.23.123: NTPv2, Reserved, length 8 22:13:11.214464 IP 85.227.172.216.123 89.223.102.170.123: NTPv2, Reserved, length 8 22:13:11.225677 IP 119.81.38.68.123 89.223.110.24.123: NTPv2, Reserved, length 8 22:13:11.228805 IP 37.48.70.72.123 89.223.110.7.123: NTPv2, Reserved, length 8 22:13:11.229226 IP 85.227.172.216.123 89.223.110.23.123: NTPv2, Reserved, length 8 22:13:11.235652 IP 79.175.215.86.123 89.223.104.81.123: NTPv2, Reserved, length 8 22:13:11.241336 IP 86.89.176.25.123 89.223.110.1.123: NTPv2, Reserved, length 8 22:13:11.243684 IP 37.48.70.72.123 89.223.110.25.123: NTPv2, Reserved, length 8 22:13:11.243780 IP 85.227.172.216.123 89.223.102.170.123: NTPv2, Reserved, length 8 22:13:11.251006 IP 86.89.176.25.123 89.223.110.1.123: NTPv2, Reserved, length 8 22:13:11.258095 IP 63.209.37.30.123 89.223.110.5.123: NTPv2, Reserved, length 8 только судя по тому, что сообщений о падении тырнета нет, у них не очень получается. 1 января 2014 г., 18:23 пользователь Eugene V. Boontseff eug...@home.wdc.spb.ru написал: On 31.12.2013 18:39, Slawa Olhovchenkov wrote: On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 эм, а 10 rps нынче относят к _DDOS_? серьезно? DDOS это типа у того, на кого ответыпойдут с ntpd, настроенного, как публичный. Размер ответа там и не с одного дырявого сервера.. -- Eugene -- Eugene
Re: [freebsd] DDOS NTPD
1 января 2014 г., 20:30 пользователь Eugene V. Boontseff eug...@home.wdc.spb.ru написал: Собственно, здесь написали уже: http://www.xakep.ru/post/61832/default.asp О, ксакеп. Как всегда: например, запрос списка всех DNS-записей в определенной зоне. Интересно, как же это сделать без allow-transfer. Или я совсем глупый и чего-то не знаю?
Re: [freebsd] DDOS NTPD
On 01.01.2014 22:53, Anton Sayetsky wrote: 1 января 2014 г., 20:30 пользователь Eugene V. Boontseff eug...@home.wdc.spb.ru написал: Собственно, здесь написали уже: http://www.xakep.ru/post/61832/default.asp О, ксакеп. Как всегда: например, запрос списка всех DNS-записей в определенной зоне. Интересно, как же это сделать без allow-transfer. Или я совсем глупый и чего-то не знаю? Никак. Писали, что в инете куча серверов, отвечающих на рекурсивные запросы, трансферы.. -- Eugene
Re: [freebsd] DDOS NTPD
From: Anton Sayetsky vsj...@gmail.com например, запрос списка всех DNS-записей в определенной зоне. Интересно, как же это сделать без allow-transfer. Или я совсем глупый и чего-то не знаю? ~ $ dig @ns1.google.com gmail.com any ; DiG 9.8.4-P2 @ns1.google.com gmail.com any ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 64705 ;; flags: qr aa rd; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;gmail.com. IN ANY ;; ANSWER SECTION: gmail.com. 300 IN A 173.194.39.118 gmail.com. 300 IN A 173.194.39.117 gmail.com. 300 IN 2a00:1450:400d:803::1015 gmail.com. 345600 IN NS ns4.google.com. gmail.com. 345600 IN NS ns1.google.com. gmail.com. 3600IN MX 5 gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 40 alt4.gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 10 alt1.gmail-smtp-in.l.google.com. gmail.com. 345600 IN NS ns3.google.com. gmail.com. 300 IN TXT v=spf1 redirect=_spf.google.com gmail.com. 3600IN MX 20 alt2.gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 30 alt3.gmail-smtp-in.l.google.com. gmail.com. 86400 IN SOA ns1.google.com. dns-admin.google.com. 2012061200 21600 3600 1209600 300 gmail.com. 345600 IN NS ns2.google.com. ;; Query time: 42 msec ;; SERVER: 216.239.32.10#53(216.239.32.10) ;; WHEN: Wed Jan 1 21:15:38 2014 ;; MSG SIZE rcvd: 372
Re: [freebsd] DDOS NTPD
1 января 2014 г., 21:18 пользователь l...@lena.kiev.ua написал: From: Anton Sayetsky vsj...@gmail.com например, запрос списка всех DNS-записей в определенной зоне. Интересно, как же это сделать без allow-transfer. Или я совсем глупый и чего-то не знаю? ~ $ dig @ns1.google.com gmail.com any ; DiG 9.8.4-P2 @ns1.google.com gmail.com any ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 64705 ;; flags: qr aa rd; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;gmail.com. IN ANY ;; ANSWER SECTION: gmail.com. 300 IN A 173.194.39.118 gmail.com. 300 IN A 173.194.39.117 gmail.com. 300 IN 2a00:1450:400d:803::1015 gmail.com. 345600 IN NS ns4.google.com. gmail.com. 345600 IN NS ns1.google.com. gmail.com. 3600IN MX 5 gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 40 alt4.gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 10 alt1.gmail-smtp-in.l.google.com. gmail.com. 345600 IN NS ns3.google.com. gmail.com. 300 IN TXT v=spf1 redirect=_spf.google.com gmail.com. 3600IN MX 20 alt2.gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 30 alt3.gmail-smtp-in.l.google.com. gmail.com. 86400 IN SOA ns1.google.com. dns-admin.google.com. 2012061200 21600 3600 1209600 300 gmail.com. 345600 IN NS ns2.google.com. ;; Query time: 42 msec ;; SERVER: 216.239.32.10#53(216.239.32.10) ;; WHEN: Wed Jan 1 21:15:38 2014 ;; MSG SIZE rcvd: 372 Разве в ответе содержатся все записи этой зоны? some.strange.record.gmail.com IN A dshdda я не вижу. ;)
Re: [freebsd] DDOS NTPD
И что? Все так отвечают dig lena.kiev.ua any ; DiG 9.8.4-P2 lena.kiev.ua any ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 40692 ;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 3, ADDITIONAL: 2 ;; QUESTION SECTION: ;lena.kiev.ua. IN ANY ;; ANSWER SECTION: lena.kiev.ua. 3600 IN TXT v=spf1 a ip4:94.244.0.0/18 a:mail2ftp.heliohost.org/26 a:stevie.heliohost.org/26 a:smtp.mts.com.ua/24 mx:voliacable.com/24 a:rusanovka.proline.net.ua ?all lena.kiev.ua. 3600 IN MX 10 mail.lena.kiev.ua. lena.kiev.ua. 3600 IN MX 20 mail.lena.kiev.ua. lena.kiev.ua. 3600 IN A 82.146.52.81 lena.kiev.ua. 3600 IN SOA ns.secondary.net.ua. root.lena.kiev.ua. 2009111423 10800 3600 604800 86400 lena.kiev.ua. 3600 IN NS ns.secondary.net.ua. lena.kiev.ua. 3600 IN NS ns2.joinvps.com. lena.kiev.ua. 3600 IN NS ns1.joinvps.com. ;; AUTHORITY SECTION: lena.kiev.ua. 3600 IN NS ns.secondary.net.ua. lena.kiev.ua. 3600 IN NS ns1.joinvps.com. lena.kiev.ua. 3600 IN NS ns2.joinvps.com. ;; ADDITIONAL SECTION: ns1.joinvps.com. 172800 IN A 94.250.249.33 ns2.joinvps.com. 172800 IN A 82.146.44.106 ;; Query time: 118 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Wed Jan 1 21:42:25 2014 ;; MSG SIZE rcvd: 443 1 января 2014 г., 21:18 пользователь l...@lena.kiev.ua написал: From: Anton Sayetsky vsj...@gmail.com например, запрос списка всех DNS-записей в определенной зоне. Интересно, как же это сделать без allow-transfer. Или я совсем глупый и чего-то не знаю? ~ $ dig @ns1.google.com gmail.com any ; DiG 9.8.4-P2 @ns1.google.com gmail.com any ; (1 server found) ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 64705 ;; flags: qr aa rd; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;gmail.com. IN ANY ;; ANSWER SECTION: gmail.com. 300 IN A 173.194.39.118 gmail.com. 300 IN A 173.194.39.117 gmail.com. 300 IN 2a00:1450:400d:803::1015 gmail.com. 345600 IN NS ns4.google.com. gmail.com. 345600 IN NS ns1.google.com. gmail.com. 3600IN MX 5 gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 40 alt4.gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 10 alt1.gmail-smtp-in.l.google.com. gmail.com. 345600 IN NS ns3.google.com. gmail.com. 300 IN TXT v=spf1 redirect=_spf.google.com gmail.com. 3600IN MX 20 alt2.gmail-smtp-in.l.google.com. gmail.com. 3600IN MX 30 alt3.gmail-smtp-in.l.google.com. gmail.com. 86400 IN SOA ns1.google.com. dns-admin.google.com. 2012061200 21600 3600 1209600 300 gmail.com. 345600 IN NS ns2.google.com. ;; Query time: 42 msec ;; SERVER: 216.239.32.10#53(216.239.32.10) ;; WHEN: Wed Jan 1 21:15:38 2014 ;; MSG SIZE rcvd: 372
Re: [freebsd] DDOS NTPD
И что? Все так отвечают Именно, все. А длина пакета ответа существенно больше длины пакета запроса. Что злоумышленнику и требуется.
Re: [freebsd] DDOS NTPD
1 января 2014 г., 22:01 пользователь l...@lena.kiev.ua написал: И что? Все так отвечают Именно, все. А длина пакета ответа существенно больше длины пакета запроса. Что злоумышленнику и требуется. Изначально речь была не об этом. Я имел в виду, что ксакеп жжёт, как всегда и пишет неаргументированную хрень с частичной правдой.
Re: [freebsd] DDOS NTPD
Так ксакеп для кого пишет-то? Я честно искал статью в первой 10-тке, чтобы отправить другую ссылку - но там проще всего она читалась. В действительности статья о ддосе 100гигабитами гораздо интереснее читается - там была полная хронология с камментами. А смапхаус просто лежал и у абизян, которые втупую повключали RBL-и почта почти не ходила. 1 января 2014 г., 22:04 пользователь Anton Sayetsky vsj...@gmail.com написал: 1 января 2014 г., 22:01 пользователь l...@lena.kiev.ua написал: И что? Все так отвечают Именно, все. А длина пакета ответа существенно больше длины пакета запроса. Что злоумышленнику и требуется. Изначально речь была не об этом. Я имел в виду, что ксакеп жжёт, как всегда и пишет неаргументированную хрень с частичной правдой.
[freebsd] DDOS NTPD
Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0
Re: [freebsd] DDOS NTPD
On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 эм, а 10 rps нынче относят к _DDOS_? серьезно?
Re[2]: [freebsd] DDOS NTPD
согласен чересчур загнул для ддоса. в логах это 2е сутки думал мож кто сталкивался, а так оно никак не напрягает долбится в закрытый порт. --- Исходное сообщение --- От кого: Slawa Olhovchenkov s...@zxy.spb.ru Дата: 31 декабря 2013, 16:36:22 On Tue, Dec 31, 2013 at 03:10:28PM +0200, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Dec 31 14:07:37 ss25 last message repeated 2 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 208.115.216.186:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 last message repeated 3 times Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 212.204.206.33:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 64.31.16.219:123 78.47.128.141:123 in via re0 Dec 31 14:07:37 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 110.55.3.42:123 78.47.128.141:123 in via re0 Dec 31 14:07:38 ss25 kernel: ipfw: 2000 Deny UDP 212.29.229.9:123 78.47.128.141:123 in via re0 эм, а 10 rps нынче относят к _DDOS_? серьезно?
Re: [freebsd] DDOS NTPD
On Tuesday 31 December 2013, Andrey wrote: Заметил в логах последние пару дней пытаюnся долбить NTPD. Никто не сталкивался ? Да недель 5 назад заметил, как ntpd убивал процессор на машине, включенной в ua.pool.ntp.org. Пришлось перекрывать ntp от внешнего мира, потому что зверьку приходилось реально плохо. Погуглил, ничего интересного не нашел, кроме упоминания об udp amplification атаках по протоколу NTP (малоэффективные, но иногда бывают) и NTP вандализме. -- Bye! A.M.
