Wenn ein Server-Betreiber NTP auf seinem Server installiert, muß er sich auch unbedingt um die richtige Konfiguration kümmern, denn sonst kann der NTP-Daemon für eine DDoS-Attacke mißbraucht werden:
Auf den virtuellen Root-Servern ist es NICHT notwendig, einen NTP-Daemon zu installieren, da die Server von der Zeit automatisch gestellt werden, aber die Zeitzone muß ggf. eingestellt werden, was z.B. unter Debian mit dem Shell-Befehl: „dpkg-reconfigure tzdata“ erfolgt!
Lesen Sie hier, wie hinterhältig diese DDoS-Attacke ist: Wie ist die DDoS-Attacke überhaupt aufgefallen?
In den Log-Files mehrerer Server wurden ungewöhnliche ICMP Anfragen gefunden mit der IP-Adresse: 224.0.0.1 – Was auf einen Broadcast-Ping hinweist! Netstat ergab jedoch auf den entsprechenden Servern keine Auffälligkeiten, aber dennoch wurden weiterhin diese ICMPs festgestellt! Also suchten wir nach einer Möglichkeit, diese ICMPs zurück zu verfolgen und fanden auch die Lösung mit einem tcpdump und konnten dann schließlich ermitteln, welcher Kunden-Server diese ICMP-Attacken versendet hat. Noch vollkommen ungeklärt ist, ob noch weitere ICMPs von anderer Seite erfolgen, denn wir fanden jetzt eine ausstreuende DDoS-Attacke:
DDoS-Attacke und keine ungewöhnlichen Prozesse (ps -ef):
Allerdings konnten auf dem Kunden-Server keine ungewöhnlichen Prozesse erkannt werden, aber das feinere Auswerten der tcpdump´s zeigte jedoch Traffic eingehend (sehr wenig) und viel Traffic nach Außen! Die Port-Analyse des eingehenden Ports 53 (UDP) führte zum irrigen Ergebnis, daß es sich um Nameserver-Anfragen handeln müßte, lt. öffentlicher Port-Liste (z.B. in Wikipedia), aber ein Nameserver lief beim Kunden gar nicht!
Also haben wir erst mal Port 53 (TCP/UDP) für den Kunden-Server geblockt:
Nach dem Blocking des Ports 53 eingehend, ging der Traffic in beide Richtungen sofort auf 0 zurück! Wir waren sehr überrascht, wie das nun angehen konnte!
Wie verhext, denn wie konnten diese Attacken überhaupt funktionieren:
Daß war richtig „verhext“, aber dann wurden wir im Internet fündig, denn genau diese DDoS-Attacke wird im Internet auf einer anderen Seite beschrieben: NTP DDoS Attack in a Virtual Network
Es erfolgen Anfragen an den NTP-Server und mittels übergebener Parameter, wurde dieser dann gefüttert mit ICMP-Anfragen an andere Server, um diese zu attackieren! Genaueres beschreibt der verlinkte Artikel!
Und wer waren die Hacker, die diese Konfigurations-Lücke ausnutzen konnten:
Nach einer Schnell-Analyse kamen die Attacken auf die Konfigurations-Lücke von Russland, China, Japan!
Résumé: Wer Dienste in einem Server installiert, sollte sich unbedingt auch um die richtige Konfiguration kümmern:
Eine falsche Konfiguration ermöglicht Angreifern (Hackern), die installierten Programme für illegalen Zwecke zu mißbrauchen! Für Linux-Server steht im Internet eine umfangreiche Dokumentation zur Verfügung und die sollte auch gelesen werden! Da die Dokumentation extrem umfangreich ist, sollte wirklich nur daß installiert werden, was auch wirklich benötigt wird! Jeder Server-Betreiber sollte sich zusätzlich in seinen Server eine Firewall (ip_tables) installieren, die wirklich nur die Ports öffnet, die auch wirklich benötigt werden! Als Hoster können wir nicht grundsätzlich alle Ports blockieren, die vielleicht irgendwann gefährlich werden könnten! Server-Betreiber sind immer für ihre eigenen Server verantwortlich und müssen auch wissen, was sie tun!
3 Gedanken zu „VORSICHT: Installation von NTP kann DDoS-Attacken ermöglichen“