DDoS-атаки с использованием Portmapper вашего сервера: что делать?

Jul 18, 2016 15:03 · 261 words · 2 minute read portmapper

Получил письмо с темой Exploitable portmapper service used for an attack: <IP-address моего сервера>. Есстественно, хостер недоволен таким положением вещей и требует устранить проблему. Давайте разберемся!

В самом письме проблема раскрыта шире, присутствуют логи и ссылка на более подробную информацию (с надписью we did not create this content).

Оказывается проблема не нова, впервые с ней столкнулись в середине июня 2015 года, серьезные масштабы данный вид атак приобрел 10-12 августа 2015 года. Специалисты телекоммуникационного и интернет-провайдера Level 3 охарактеризовали этот новый тип DDoS-атаки как модификацию NTP DDoS двухлетней давности.

Новый вид DDoS использует Portmapper (RPC Portmapper), который работает на сетевых узлах, обеспечивающих сервисы Remote Procedure Call (например, NIS и NFS), и всегда работает по 111 порту TCP или UDP. Сама атака заключается в отправке UDP-пакета (с указанием ip-адреса жертвы как исходящего) на сервер, использующий Portmapper. В ответ Portmapper честно шлет список сетевых сервисов для переназначения портов, но уже на адрес жертвы.

Итак, кто виноват выяснили. Что делать? Вариант первый — отключить сервисы Portmapper и RPC. Если эти сервисы все же необходимы, вариант второй — перенастроить Portmapper и RPC на работу по протоколу TCP или третий — с помощью файрволла закрыть доступ к этим сервисам извне.

Мне больше всего пришелся по душе третий вариант, поэтому логинимся на «проблемный» сервер и правами суперпользователя выполняем следующие команды:

iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j DROP

Не лишним также будет изменить пароли пользователей и выполнить проверку системы на вирусы, например, с помощью ClamAV.

tweet Share