Howto Block NTP DDOS attack

Review of: ntp ddos

Reviewed by:
Rating:
5
On 17 februari, 2014
Last modified:5 maart, 2014

Summary:

De laatste weken is het helaas hip, het ddossen via het internet protocol NTP. In mijn vorige bericht vertelde ik hoe de grootste ddos gericht aan cloudflare heeft plaatsgevonden vorige week. In dit bericht wil ik jullie uitleggen hoe je een VPS server kunt beschermen tegen het NTP protocol zodat je eigen server zonder dat je het door hebt niet zelf mee gaat ddossen in een grote NTP reflection attack.

Is mijn VPS server vatbaar voor een NTP reflection attack?

Dit kun je direct checken met onze NTP ddos checker.

Je hebt een grote kans dat deze standaard zonder dat je het door hebt vatbaar is, volg daarom onderstaande stappen.

1. Allereerst moet je er altijd voor zorgen dat het onderliggende besturingssysteem up-to-date is en dat alle updates netjes geïnstalleerd en actief zijn. De bug in de NTP deamon stamt namelijk uit 2010 en nieuwere versies zijn niet gevoelig voor deze aanval. Bij een CentOS server update u alle software via het commando:

yum update all -y

In Ubuntu en Debian doet u dit via apt-get update

2. Kijk goed of uw server vatbaar is voor de aanval via het volgende commando wat u uitvoert op uw server.
ntpd --version
Hiermee ziet u de versie van NTP, deze moet dus 4.2.7p26 of hoger zijn, alternatief:
ntpdc -n -c monlist localhost
Als u een lijst met server adressen ziet reageert uw server op de MONLIST aanval en is deze dus WEL vatbaar voor een NTP reflection attack.

3. Als uw server gevoelig blijkt dan kunt u de volgende regels aanpassen of toevoegen in /etc/ntp.conf (in Centos/Debian/Ubuntu)
restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap
disable monitor

Indien u NTP niet naar het internet toe laat gaan en dus alleen intern ophaalt, gebruik dan ook de volgende regel:
restrict 127.0.0.1
restrict ::1

Vergeet niet de NTP deamon te herstarten om de wijzigingen door te voeren.
/etc/init.d/ntp restart of service ntp restart
Verifieer met:

ntpdc -n -c monlist localhost of de wijziging succesvol is.

Je kunt eventueel ook in IPtables UDP poort 123 uitgaand dichtzetten zodat je ook nooit mee kunt doen met een NTP reflection attack vanaf je server. Echter is het toch altijd in elk geval aan te raden om alle software die op je server staat up to date te houden. Veel bugs, problemen en hacks worden zodoende netjes opgelost en zorgt ervoor dat je veel ellende met je server voorkomt.

Deel gauw met anderen:facebook Howto Block NTP DDOS attack vps server twitter Howto Block NTP DDOS attack vps server google Howto Block NTP DDOS attack vps server pinterest Howto Block NTP DDOS attack vps server linkedin Howto Block NTP DDOS attack vps server stumbleupon Howto Block NTP DDOS attack vps server print Howto Block NTP DDOS attack vps server email Howto Block NTP DDOS attack vps server

Opmerking toevoegen

Current day month ye@r *