Spamhaus waarschuwt voor ddos-aanvallen op snmp-servers
De Britse spambestrijder Spamhaus heeft laten weten dat het in december ddos-aanvallen heeft moeten verwerken van een relatief nieuw type. De aanvallers kozen voor een snmp-aanval waarbij het doel wordt overspoeld met udp-pakketjes.
Spamhaus stelt dat het een verschuiving signaleert in het type aanval op zijn website. In plaats van 'klassieke' dns amplification attacks, waarbij het dns-systeem wordt misbruikt, hebben de aanvallers van de spambestrijder recentelijk gekozen om het snmp-protocol te misbruiken. Ook via deze relatief nieuwe methode zijn zij in staat gebleken om een stroom udp-pakketjes met spoofed ip-adressen naar een doel te sturen. Omdat veel snmp-servers via dit type aanval met een relatief kleine aanvalsstroom op de knieën zijn te krijgen, en daarmee de achterliggende webservers onbereikbaar worden, kan een snmp-aanval een effectief wapen zijn.
Spamhaus is in de loop der jaren al diverse malen door ddos'ers op de korrel genomen. In de maand december kreeg het echter een snmp ddos-aanval te verwerken, die in omvang vergelijkbaar was met de grootste 'klassieke' ddos-aanval op zijn infrastructuur. In samenwerking met overheidsinstellingen en beveiligingsbedrijven zegt Spamhaus de aanvallen te hebben afgeslagen en inmiddels stappen te hebben ondernomen om de aanstichters te vinden.
Volgens Spamhaus kan een website zich wel degelijk goed wapenen tegen snmp-aanvallen. De verdedigingslinies moeten het liefst zo 'hoog mogelijk', dus ver weg van het doel, worden opgetrokken. Door met behulp van een firewall ip-pakketjes te filteren op mogelijk gespoofde adressen, via ingress- en egress-filtering, kunnen de meeste ddos-aanvallen al gepareerd worden. Spamhaus stelt echter dat webhosters er goed aan doen om een firewall voor hun snmp-server te plaatsen en toegang te beperken tot een klein aantal ip-adressen.
Reacties (31)
community string maakt bij deze aanval niet uit. Een werkende poort 161 is voldoende.En dan nog met een te makkelijke community string is vragen om problemen.
Dat is een interessante vraag ja. Op z'n minst heb je er een locale firewall of ACL voor hangen. Maar het artikel maakt natuurlijk wel specifiek melding van gespoofte IP adressen, daardoor kan je makkelijk door rudimentaire filters heen komen ( 127.0.0.1 wordt meestal altijd allowed, bijvoorbeeld ).In je firewall alleen maar verkeer van bepaalde IP's of range toe staan? Je wilt toch niet dat de hele wereld bij je snmp kan?
toch nooit als die van buiten komt ?? da's gewoon om problemen vragen127.0.0.1 wordt meestal altijd allowed, bijvoorbeeld
als de firewall op dezelfde machine draait (bijvoorbeeld ipfw, PF, ipchains/tables/whatever) is dat verschil niet altijd geheel duidelijk. Soms kan localhost verkeer over de ethernet interface komen, en niet alleen over de loopback.[...]
toch nooit als die van buiten komt ?? da's gewoon om problemen vragen
Wat jij schetst is een stuk duidelijker te detecteren als je een firewall machine er voor hebt draaien, maar dat is nog lang niet altijd geval.
Maar gezien het hier vooral over webservers lijkt te gaan, heb je inderdaad gelijk. Sterker nog, het liefst gooi je je SNMP dingen over een apart (V)LAN, omdat dat überhaupt alleen voor intern gebruik is.
leuk, maar in praktijk niet altijd geheel haalbaar.Apparaten die geen fw ondersteunen, hoor je de management interface niet direct aan internet te hangen.
Het is niet de óf het kan maar of de WIL er is om het te doen!
Als ik mij HP/Cisco/Juniper/Brocade/... rechtstreeks aan het internet gaat hangen moet ik niet piepen dat ie een keer te grazen genomen gaat worden.
Management beschikbaar stellen via internet is één grote NO-NO!
Als ik het echter zo configureer dat management maar via 1 poort kan en die vervolgens op een VLAN prop waar de rest van de wereld niet bij kan heb je dat obstakeltje alvast geslecht.
Helaas gebeurd het nog steeds veel te vaak dat commerciële belangen prevaleren boven veiligheid.
En als ze dan een keer voor de haaien gaan is het kommer en kwel klagen.
Er zijn talloze hosting omgevingen bij ISP's wereldwijd waarbij je een publiek ip krijgt, en switchpoort, en een plek om je server op te hangen. Meer niet.
Wat nou ontwerp maken? D'r is geen ontwerp.
[Reactie gewijzigd door arjankoole op zondag 25 december 2011 16:40]
Als de IP's gespoofed worden dan krijg je alsnog de volle laag.zijn zij in staat gebleken om een stroom udp-pakketjes met spoofed ip-adressen naar een doel te sturen
[Reactie gewijzigd door Khildin op zondag 25 december 2011 11:55]
. DNS en SNMP met hoofdletters net als IP en (D)DOS dit zijn afkortingen.
Oplossing is eenvoudig denk ik door te zorgen dat SNMP alleen actief is op de interface waar je hem gebruikt en dat dan natuurlijk niet doen op je publieke interface.[Reactie gewijzigd door raymonvdm op zondag 25 december 2011 11:05]
op die manier zullen (honderd)duizenden onwetende servers willen contact maken met je slachtoffer, zonder dat die daar ernstige load van ondervinden, maar je slachtoffer wel
Voor de rest lijkt het me lastig als je SNMP aan wilt bieden naar buiten toe om dan alleen een bepaalde IP-range toe te staan, je sluit dan toch mensen buiten lijkt me..
Zou je niet met Karma kunnen werken, indien er te veel aanvragen / seconde zijn gaat je karma naar negatief en mag/kun je minder requests doen omdat de rest alsnog geblocked wordt door een firewall..
Dit zou evt. niet werken met spoofed IP's, omdat je steeds andere IP's te zien krijgt.
Maar om wat voor reden zou je anderen SNMP toegang willen geven? Daar heeft echt niemand iets aan. Wat zou bijvoorbeeld mijn moeder met de interfaceinformatie van de Cisco switch van een ISP moeten?
maar het lijkt me dat je als beheerder van een netwerk ook niet constant hetzelfde IP hebt. en natuurlijk kun je best een VPN openen en alsnog inloggen.
Daarnaast kan ik ook op mijn VPS/Dedicated server SNMP aanzetten en alles uitlezen, maar voorlopig heb ik geen zin om VPN te draaien en heb ik ook geen dedicated firewall draaien, dus staat alles nog open. Gelukkig heb ik geen SNMP aan hoeven zetten, mijn server is vooral een " just play around" apparaat.
Ik las dat SNMP op port 161 draait, dus daar kun je met een firewall dan wel mooi op filteren zodat een bepaalde IP range alleen toegang krijgt.
Ik wil alleen aangeven dat niet iedereen dit dus doet of de noodzaak hiervan inziet.
Als je toch rechtstreeks SNMP wilt uitlezen en je bent te lui om het te beveiligen met een VPN, of om soms je IP te wijzigen in de firewall, ben je mijn inziens een slechte systeembeheerder. Dit soort dingen goed beveiligen is onderdeel van je werk.
Behoorlijk heftig effect lijkt me: snmpwalk naar een host xn en de output naar het gespoofde target.
@arjenkoole: ik zie de clue nog niet bij :"Alleen een werkende poort 161 is voldoende"
[Reactie gewijzigd door Kabouterplop01 op zondag 25 december 2011 14:21]
of gewoon helemaal uitzetten en zorgen dat je management gewoon over een ipsec tunnel heen lopen.
Dan heb je hier geen last van.
diverse servers waar ik wat mee doe hebben een publiek IP adres direct op hun netwerk interface. Daar hangt dus geen firewall voor. Zo werken veel hosting omgevingen bij ISP's. Op het systeem zelf zijn wel diverse beveiligingen actief, maar dat betekend wel een stuk meer opletten dan een default to deny aan de voorkant die per definitie alles tegenhoudt.sja,...wie gaat snmp nou open zetten zonder knappe firewall regels?
of gewoon helemaal uitzetten en zorgen dat je management gewoon over een ipsec tunnel heen lopen.
Dan heb je hier geen last van.
[Reactie gewijzigd door arjankoole op zondag 25 december 2011 17:56]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
