Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NTP-Protokoll attacke, Bedrohung entdeckt!
« previous
next »
Print
Pages: [
1
]
Author
Topic: NTP-Protokoll attacke, Bedrohung entdeckt! (Read 753 times)
budflow
Newbie
Posts: 7
Karma: 0
NTP-Protokoll attacke, Bedrohung entdeckt!
«
on:
June 21, 2024, 11:13:27 pm »
Hallo OPNsense-Community,
seit langem rätzle ich, was mit meinem Internet nicht stimmt.
Mit einem glücklichen Händchen, habe ich mein Netzwerk wieder in Ordnung bekommen, vielleicht.
Vorweg. Crowdsec, Suricater (Telemetry & Snrot), rspamd und so weiter haben geholfen, aber den Traffic von dem
ich euch jetzt erzähle nicht blockiert.
Bei OpenBSD habe ich den Network Monitor im Panel aktivert.
Dort sind ständig 0.08 KiBps Traffic oder .17 KiBps auffällig gewesen, quasi im 10 sek - 2 Min Takt hin und her gegangen.
Ich habe Wireshark installiert und Resolve network (IP) addresse eingestellt.
Dort sind ständig NTP Protokolle durchgelaufen.
Ich bin bei folgenden Domains fündig geworden:
kashra.com
sr02.spectre-net.de
ns1.blazing.de
mail.pfuideifi.org
get.really.rich
static.119.109.140.128.clients.your-server.de
Ich habe manuell eingegriffen und diese auf die Unbound DNS Sperrliste gesetzt.
Der städige Traffic austausch hat aufgehört und diese Domains mit den unseriösen Adressen blockiert.
Jetzt tauchen temporär nur noch IP-Adressen auf mit einem NTP-Protokoll, was jetzt nicht auffällig ist.
Leider haben es dise NTP-Protokolle es durch meine OPNsense-Firewall geschafft.
Gibt es ein Dienst dafür, welche so welche Pakette droppen kann?
Jemand eine Idee mit welcher Bedrohung ich es zu tun hatte?
Was mich stört:
Es gibt so viel Stellschrauben wo man drehen kann. Ein Wunder, dass ich drauf gekommen bin!
Meiner Einschätzung ist diese Bedrohung sehr schlimm für eine private Person.
Ich bin gerade mal ein Anwender, habe mich aber mit OPNsense und OpenBSD so intensive beschäfftigt,
bis ich endlich dahinter gekommen bin und mein Ziel "Take back your Network" erreicht habe.
Ich kann garnicht sagen und erklären , was das für einen Schaden es bei mir ausgelöst und angerichet hat.
Vielleicht ließt meine Nachricht ja jemand, das sich damit auskennt und mit meinem Report
was anfangen kann. Ich würde mich freuen, wenn man dem auf die Schliche kommt! Diese NTP-Protokolle sind auch nicht in der Unbound Statistik aufgetaucht! Ich hoffe es ist relevant was ich euch mit teile!
Beste Grüße
Bud Puffy
Update:
ip85.215.189.120.pbiaas.com
srv.hueske-edv.de
strtum2-1.ntp.techfak.net
sind noch dazu gekommen.
Jetzt wander der Traffic von den NTP-Protokollen nur noch zwischen pool.ntp.org und time.cloudflare.com.
Diese Domains sind mir aber bekannt. Es tauchen auch keine anderen IP Adressen als NTP-Protokoll auf.
Ich bin nur einfacher Anwender und verstehe von dem Ding nicht viel, aber mit meinem Post tue ich niemand etwas, mir scheint die Sache nur etwas seltsam, warum ich das hier teile.
Update2:
Auf
https://github.com/firehol/blocklist-ipsets
habe ich eine NTP Blockliste gefunden.
"IP Feed about ntp, crawled from several sources, including several twitter accounts."
https://github.com/firehol/blocklist-ipsets/blob/master/urandomusto_ntp.ipset
Unter Unbound -> Sperrliste -> erweiterter Modus -> URLs of Blocklists eingefügt.
Gut so. cya
«
Last Edit: June 22, 2024, 11:30:10 pm by budflow
»
Logged
mooh
Jr. Member
Posts: 94
Karma: 3
Re: NTP-Protokoll attacke, Bedrohung entdeckt!
«
Reply #1 on:
June 24, 2024, 12:47:40 pm »
Und welches Problem hat das Filtern gelöst? Verbreiten die Server falsche Zeit oder ist das gar kein NTP Traffic? Warum benutzen Deine NTP Server/Clients überhaupt diese Server, wenn Du nur von pool.ntp.org und time.cloudflare.com Zeitinfos beziehen möchtest? Wenn sie Teil dieser Pools sind und Du denen nicht traust, solltest Du vielleicht Deine NTP Server genauer auswählen, als über einen Pool.
Logged
budflow
Newbie
Posts: 7
Karma: 0
Re: NTP-Protokoll attacke, Bedrohung entdeckt!
«
Reply #2 on:
July 03, 2024, 12:29:57 am »
Stimmt. Das Filtern hat mein Problem nicht gelöst.
Aber ich habe eine gute Lösung gefunden.
In OpenBSD habe ich den Dienst NTPd deaktiviert. (rcctl disable ntpd)
Sowohl auch in OPNsense (Server von der Liste Dienst Netzwerk-Zeit gelöscht, deaktiviert ntpd.)
Anstelle dem habe ich Chrony hinzugefügt und eingerichtet. (mit Client Modus enable.)
Was mich gestört hat, kann ich nicht sagen, doch jetzt läuft es wieder zu meiner Zufriedenheit.
Logged
mimugmail
Hero Member
Posts: 6767
Karma: 494
Re: NTP-Protokoll attacke, Bedrohung entdeckt!
«
Reply #3 on:
July 03, 2024, 09:56:44 am »
Vielleicht haben die Leute ihre Hosts als NTP Server registriert, wenn du dann nur auf dem LAN filterst kann das nicht greifen weil die OPNsense das als ausgehendes Paket behandelt
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NTP-Protokoll attacke, Bedrohung entdeckt!