10 февраля 2014 г., 12:50 пользователь Lystopad Aleksandr <[email protected]>написал:
> Hello, Vladislav V. Prodan! > > On Mon, Feb 10, 2014 at 10:35:30AM +0200 > [email protected] wrote about "Re: [freebsd] DDOS NTPD": > > в tcpdump'e > > > > 10:29:52.345940 IP (tos 0x0, ttl 69, id 0, offset 0, flags [DF], proto > UDP > > (17), length 36) > > 109.163.232.229.23756 > XXX.XXX.XX2.67.123: [no cksum] NTPv2, length > 8 > > Reserved, Leap indicator: (0), Stratum 0 (unspecified), poll 3s, > > precision 42 > > Root Delay: 0.000000 [|ntp] > > > > Хз как распаковать запрос и вычислить жертву. > > В итоге жертве идет куча ответов по ntp > > > > В ntpd.conf: > > > > ... > > restrict default kod nomodify notrap nopeer noquery > > restrict -6 default kod nomodify notrap nopeer noquery > > restrict 127.0.0.1 > > restrict -6 ::1 > > > > disable monitor > > > > Это мало помогает, если сервер open NTP и входит в пул NTP.org > > Какая версия ntp у вас используется? > ntpd - NTP daemon program - Ver. 4.2.4p8 > И ports/net/ntp-devel пробовали? > Нет. Пришлось экстренно сооружать правила на шлюзе, чтоб фильтровать подобные запросы. P.S. Возможно я погорячился, что правила в ntpd.conf не работают... Но как вычислить жертву в таких запросах актуален. -- Vladislav V. Prodan System & Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE
