Ważny komunikat – DDOSy – kontynuacja #2.
W dniu dzisiejszym nastąpiła eskalacja problemu DDOS.
Po porannych skanach znalezione otwarte serwery NTP w Waszych sieciach zostały wykorzystane do amplifikacji zmasowanego ataku na różne hosty w Internecie.
W ekstremalnym momencie generowały one blisko 50 milionów pps ruchu wychodzącego.
Niestety spowodowało to zerwanie sesji do niektórych upstreamów, których routery przestały sobie z tym ruchem radzić.
Aby zapobiec dalszej eskalacji zdecydowaliśmy się na globalne zablokowanie ruchu wychodzącego od nas na port 123 UDP do Waszych IP.
Jeśli posiadacie inne niż epixowe łącza, taka blokada niewiele zmieni, gdyż Wasze podatne adresy IP będą wykorzystywane dalej do bycia ofiarą, lub kreowania ataków.
Proponujemy bezzwłoczne wdrożenie ACL na Waszych routerach, uniemożliwiające otrzymywania z Internetu (nie tylko globala, ale też innych usług z zewnątrz) zapytań z celem na Wasze adresy publiczne na porcie 123 UDP, oraz wysyłania ruchu z Waszej sieci z portu 123 do Internetu.
Żadne z powyższych zabezpieczeń nie rozwiązuje problemu, niezbędne jest jego rozwiązanie poprzez ELIMINACJĘ przyczyny, czyli usunięcie/zabezpieczenie podatnych IP z własnych sieci.
Przykładowe narzędzia (po realizacji powyższych ACL będą działały już tylko te z wewnątrz!):
Zalecamy bezzwłoczne skanowanie swoich podsieci pod kątem występowania na dostępnych z Internetu rzeczywistych adresach IP podatnych usług.
Napisz komentarz
Want to join the discussion?Feel free to contribute!