Nous avons affaire à une attaque de réflexion / amplification NTP sur nos serveurs colocalisés. Cette question est spécifique à la réponse aux attaques par réflexion NTP, et ne s'adresse pas aux DDoS en général.
Voici le trafic:
Il s'agit d'un peu de CPU sur notre routeur:
Malheureusement, il n'est pas assez grand pour que notre fournisseur en amont fasse un trou noir du trafic, ce qui signifie qu'il nous parvient.
Nous avons utilisé la règle suivante pour bloquer le trafic NTP, qui provient du port 123:
-p udp --sport 123 -j DROP
Il s'agit de la première règle dans IPTables.
J'ai beaucoup cherché et je ne trouve pas beaucoup d'informations sur la façon d'utiliser IPTables pour atténuer une attaque par réflexion NTP. Et certaines informations là-bas semblent carrément incorrectes. Cette règle IPTables est-elle correcte? Y a-t-il autre chose que nous pouvons ajouter ou faire pour atténuer une attaque de réflexion / amplification NTP autre que de contacter notre fournisseur de réseau en amont?
Aussi: puisque ces attaquants doivent utiliser des réseaux qui
- permettre l'usurpation d'adresse IP dans les paquets
- ont un code NTP non corrigé vers 2010
existe-t-il un centre d'échange mondial auquel nous pouvons signaler ces adresses IP, afin qu'elles soient corrigées pour cesser d'autoriser les paquets falsifiés et corriger leurs serveurs NTP?