Русский
Русский
English
Авторизация
Ip-адрес
Восстановление пароля
Регистрация
Статистика
Реклама

Ntp

Карантинные хроники как рос DDoS

02.07.2020 10:04:35 | Автор: admin
Как известно, лень двигатель прогресса. А самоизоляция двигатель DDoS'а, добавим мы по итогу осмысления былого за март-май 2020 г. Пока кто-то страдал от безвыходности (в буквальном смысле) своего положения, мамкины хакеры страдали фигней от неотвратимости онлайн-обучения и грядущих экзаменов. Деятельно страдали (эту бы энергию да в мирное русло!). По количеству DDoS-атак в сфере образования наблюдалась наибольшая динамика роста. На пике в апреле число попыток устроить отказ в обслуживании образовательным ресурсам (электронным дневникам, сайтам с проверочными работами, площадкам для онлайн-уроков и т.д.) увеличилось в 5,5 раз по отношению к марту и в 17 раз по отношению к январю 2020 г. Всё это были маломощные (и наверняка бесплатные) атаки с использованием простых легкодоступных инструментов. Разумеется, под прицел злоумышленников (правда, уже более продвинутых) попали и другие отрасли, но тут было ожидаемо: онлайн-торговля, госсектор финансовая сфера, телеком и игровой сегмент. Подробности, как всегда, под катом.



Аналитика, которую мы приводим ниже, составлена на основе данных об атаках на сетях Ростелекома с января по май 2020 года.

Как менялось количество атак


Итак. В марте-мае 2020 года количество DDoS-атак увеличилось в 5 раз в сравнении с аналогичным периодом прошлого года. В целом за первые пять месяцев 2020-го общее число подобных атак год к году выросло более чем в 4 раза.

Отчетливо видно, как киберпреступники наращивали свою активность по мере введения карантинных мер. Самый пик пришелся на апрель, когда количество атак в сравнении с январем увеличилось на 88%. Тут стоит отметить, что годом ранее динамика не была такой яркой, а количество атак из месяца в месяц оставалось плюс-минус одинаковым.



В период самоизоляции изменился и характер интернет-трафика. Многие организации, работавшие раньше только в офлайн, запустили собственные интернет-ресурсы, в том числе халявные. Добавим сюда массовую удаленку и получим новую реальность в сети: если раньше интернет-активность плавно нарастала, достигая пика к 17:00-21:00, то теперь резкий рост был отмечен примерно в 10:00 и не снижался раньше 23:00. В целом трафик за пять месяцев 2020 года вырос примерно на 20% (а где трафик там и диверсанты).

Характеристики атак


При резком росте количества DDoS-атак их сложность и мощность в целом снизились. В основном злоумышленники использовали обычную DNS- или NTP-амплификацию небольших объемов (до 3 Гб/с).

Примечательно, что по итогам 2019 года мы фиксировали противоположный тренд: резкий рост мощности и техническую сложность атак. В период пандемии количество таковых не сократилось, но доля в целом упала на фоне резкого роста простых рабоче-крестьянских DDoSов. Это еще раз указывает на то, что во время самоизоляции особенно активными были не профи, а скорее любители, которые решили воспользоваться ситуацией.

На кого охотились


Как мы и говорили выше, в первые пять месяцев резко вырос интерес атакующих к образовательным ресурсам. С учетом того, что в большинстве случаев мусорный трафик отправляли явно любители, выводы об организаторах напрашиваются сами собой (и да это вам не дневник под кровать прятать или греть градусник во избежание контрольной).



Но не школой единой был жив DDoS. Увеличилось количество атак и на госучреждения в апреле более чем в 3 раза в сравнении с мартом.



Третьей отраслью с наиболее выраженной динамикой стал гейминг (рост атак в апреле почти в 3 раза в сравнении с мартом). Режим изоляции привлек в эту индустрию не только множество новых пользователей, но и зооолото деньги (а где деньги там и, ну вы поняли). Словом, нешуточная борьба развернулась на полях гейминга не только среди игроков, но и среди площадок.



Несмотря на то, что в целом за отчетный период мощность атак упала, в общей статистике выделились операторы связи и дата-центры: здесь чаще обычного случались атаки 150+ Гб. DDoS в этих двух сегментах позволяет вывести из строя не один конкретный сайт, а ударить оптом по клиентам оператора и ресурсам, которые обслуживает ЦОД. При этом такие компании лучше защищены, чем, например, госучреждения или образовательный сегмент. Поэтому злоумышленникам приходится применять более совершенные инструменты. В период пандемии атаки на эти два сегмента были быстрыми и мощными и осуществлялись, скорее всего, через реальные хосты, собранные в одну бот-сеть с возможностью за считанные минуты перенаправить ее на новую жертву.

В целом такое разделение по отраслям продолжает тренд, который сформировался еще в 2019 году. Например, в 2018 году на телеком-индустрию приходилось только 10% всех DDoS-атак, а в 2019 уже 31%. Мишенями хакеров становились небольшие региональные интернет-провайдеры, хостинги и дата-центры, которые обычно не располагают необходимыми для отражения атак ресурсами.

Итого


В период действия карантина на фоне распространения COVID-19 (март-май 2020 года) было зафиксировано в пять раз больше DDoS-атак, чем годом ранее.

Доля простых и маломощных атак увеличилась, что указывает на активность непрофессиональных злоумышленников.

В 5,5 раз выросло количество атак на образовательные ресурсы, а самые мощные атаки за отчетный период пришлись на операторов связи и дата-центры.



Наибольший объем атак в марте-мае пришелся на сектор онлайн-торговли (31%), который традиционно является одним из основных объектов для DDoS. Вторым по популярности стал госсектор (21% атак). Далее следуют финансовая сфера (17%), телеком (15%), образование (9%) и игровой сегмент (7%).

Самым сложным для владельцев интернет-ресурсов месяцем стал апрель, когда в России действовал жесткий режим самоизоляции. В мае активность дедосеров постепенно пошла на спад этот тренд сохранится и дальше, если ситуация в России и мире будет стабилизироваться. Также можно прогнозировать сокращение количества атак в сфере образования, когда закончится вступительные и выпускные экзамены.

Однако, как показал минувший карантин, невозможно спрогнозировать наверняка, когда именно в компанию придет DDoS, так что соломку лучше подстелить заранее.
Подробнее..
Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании ростелеком-солар , Ddos , Ntp , Dns , Амплификация

Установка NTP сервера для включения его в pool.ntp.org

08.01.2021 08:12:11 | Автор: admin

Большинство дистрибутивов операционных систем на базе Linux и многих сетевых устройств используют для установки часов сервера вида *.pool.ntp.org.

Рассмотрим подробнее откуда же берутся данные сервера, что требуется чтобы создать свой собственный сервер и добавить его к данному кластеру для помощи сообществу синхронизации времени.

Как сказано на сайте https://www.ntppool.org/ru/ - это огромный кластер серверов точного времени, предоставляющий надежный и простой в использовании NTP-сервис для миллионов клиентов и его услугами пользуются десятки миллионов систем по всему миру.

Как же установить свой сервер, что для этого требуется?

Требуется обычный сервер со статическим реальным IP адресом с актуальной операционной системой будь то Linux/BSD или подобное устройство которое в состоянии стабильно работать роли ntp-сервера по протоколу NTP https://ru.wikipedia.org/wiki/NTP который работает через интернет-сети на по порту 123/udp

Из-за небольшого потребления ресурсов и канала (до 10-15 килобит в секунду) подойдет практически любая конфигурация, например, VPS/VDS на базе KVM с минимальными ресурсами.

Цитирую с сайта https://www.ntppool.org/ru/join.html

В настоящее время большинство серверов получают порядка 5-15 NTP-пакетов в секунду. Несколько раз в день могут возникать пики по 60-120 пакетов в секунду. Переводя в килобиты, получаем примерно 10-15Кбит/с в среднем и порядка 50-120Кбит/с на пиках нагрузки. В пул постепенно входит все больше серверов, поэтому резкое возрастание нагрузки в будущем не ожидается. Таким образом, вам вряд ли потребуется полоса больше 384-512Кбит (на прием и отдачу)

Устанавливаем NTP-сервер

В большинстве дистрибутивов Linux он входит в стандартные репозитории операционной системы и достаточно выполнить его установку

apt install ntp для Debian/Ubuntu или yum install ntp для CentOS

Теперь откройте файл конфигурации в вашем /etc/ntp.conf и там в 99% случаев будут сервера из пула:

pool 0.debian.pool.ntp.org iburst

pool 1.debian.pool.ntp.org iburst

pool 2.debian.pool.ntp.org iburst

pool 3.debian.pool.ntp.org iburst

Просто закомментируйте их символом #, сервер который будет входить в пул не должен синхронизироваться с ними

После чего перейдите по ссылкам http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers и http://support.ntp.org/bin/view/Servers/StratumOneTimeServers выберете там сервера для синхронизации

Также рекомендуется использовать google по запросу вида ntp server ваша_страна

Рекомендуется использовать не меньше 4 и не больше 6 серверов

Руководствуйтесь правилом 2+2+2 -

2 сервера - StratumOne

2 сервера - StratumTwo

2 сервера - в геолокациях соседними с вашей

Работу сервера следует проверить командой ntpdate -q имя-сервера должен быть ответ вида

root@gw:~# ntpdate -q ntp4.vniiftri.ru

server 89.109.251.24, stratum 1, offset 0.001008, delay 0.08249

8 Jan 03:50:07 ntpdate[1414]: adjust time server 89.109.251.24 offset 0.001008 sec

Что означает что сервер работает, есть ответ и он представляет собой сервер первого яруса (stratum 1)

Подробнее об ярусах (stratum) можно прочитать по ссылке http://personeltest.ru/aways/habr.com/ru/post/79461/

Сервера которые являются эталонными часами (атомными, GPS-спутник) являются сервера так называемого нулевого уровня (stratum 0)

Сервера которые синхронизируются с ними напрямую (например, через GPS-приемник) имеют уровень 1

Следом идут сервера 2 и 3 чего вполне достаточно для синхронизации времени часов большинства компьютерных систем

Проверка работоспособости

После добавления новых серверов (предварительно проверенных через ntpdate -q) следует перезапустить ntp-сервер (service ntp restart) и проверить его работу командой ntpq -pn

root@gw:~# ntpq -pn

remote refid st t when poll reach delay offset jitter

==============================================================================

-51.15.74.121 131.176.107.13 2 u 48 64 17 1.009 -0.030 0.246

193.190.230.37 .EXT. 1 u 41 64 17 4.825 -0.263 0.853

+145.238.203.14 .MRS. 1 u 41 64 17 14.549 -0.857 0.127

-89.109.251.24 .MRS. 1 u 44 64 17 46.043 0.501 1.539

+62.231.6.98 .GPS. 1 u 43 64 17 41.770 -1.292 0.647

-80.60.208.118 193.67.79.202 2 u 43 64 17 8.324 -1.364 1.338

Когда есть сервер который начинается с * - значит синхронизирован успешно.

Понаблюдайте за работой ntp сервера некоторое время. Оставьте сервера с минимальным delay и jitter, рекомендуется потратить на это около часа времени и отобрать действительно лучшие сервера.

Также проверьте работу сервера с внешнего подключения через интернет выполнив ntpdate -q ip-адрес тем самым убедитесь что все работает, udp/123 нигде не фильтруется

Добавлние сервера в пул pool.ntp.org

Дальше следует перейти на сайт https://www.ntppool.org/ru/join.html и добавить сервер - все предельно просто после быстрой регистрации

Сервер работает по IP адресу, доменное имя можно указать на этапе добавления и оно будет использоваться только в момент первоначальной настройки и для отображения в списке.

После чего выполняется проверка стабильности работы сервера (так называемый score) и как он станет больше 10 - ваш сервер будет добавлен в пул.

Наблюдать пакеты можно командой tcpdump port 123 - будут видны запросы с различных сетей различных провайдеров, в основном конечно с клиентских устройств (интернет-роутеров)

04:00:50.531801 IP gw.mytimeserver.net.ntp > 82-217-46-231.cable.dynamic.v4.ziggo.nl.59634: NTPv4, Server, length 48

04:00:50.888803 Imytimeserver.netP 51.144.84.29.ntp > gw.mytimeserver.net.ntp: NTPv4, Client, length 48

04:00:50.888998 IP gw.mytimeserver.net.ntp > 51.144.84.29.ntp: NTPv4, Server, length 48

04:00:51.621673 IP 46.11.105.3.54627 > gw.mytimeserver.net.ntp: NTPv4, Client, length 48

04:00:51.621916 IP gw.mytimeserver.net.ntp > 46.11.105.3.54627: NTPv4, Server, length 48

04:00:52.037807 IP 51.136.36.226.ntp > gw.mytimeserver.net.ntp: NTPv4, Client, length 48

04:00:52.052103 IP gw.mytimeserver.net.ntp > 40.68.72.138.ntp: NTPv4, Server, length 48

В связи с этим настоятельно рекомендую провайдерам интернет-услуг установить в своей сети ntp-сервер и включить его в ntp-пул.

Полезные ссылки

https://www.ntppool.org/ru/

http://www.ntp.org/

https://ru.wikipedia.org/wiki/NTP

Подробнее..
Категории: Системное администрирование , Linux , Настройка linux , Сетевые технологии , Точное время , Ntp , Часы , Ntpd

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru