NTP-Protokoll attacke, Bedrohung entdeckt!

[budflow]

Hallo OPNsense-Community,

seit langem rätzle ich, was mit meinem Internet nicht stimmt.

Mit einem glücklichen Händchen, habe ich mein Netzwerk wieder in Ordnung bekommen, vielleicht.

Vorweg. Crowdsec, Suricater (Telemetry & Snrot), rspamd und so weiter haben geholfen, aber den Traffic von dem
ich euch jetzt erzähle nicht blockiert.

Bei OpenBSD habe ich den Network Monitor im Panel aktivert.
Dort sind ständig 0.08 KiBps Traffic oder .17 KiBps auffällig gewesen, quasi im 10 sek - 2 Min Takt hin und her gegangen.

Ich habe Wireshark installiert und Resolve network (IP) addresse eingestellt.
Dort sind ständig NTP Protokolle durchgelaufen.
Ich bin bei folgenden Domains fündig geworden:
kashra.com
sr02.spectre-net.de
ns1.blazing.de
mail.pfuideifi.org
get.really.rich
static.119.109.140.128.clients.your-server.de

Ich habe manuell eingegriffen und diese auf die Unbound DNS Sperrliste gesetzt.

Der städige Traffic austausch hat aufgehört und diese Domains mit den unseriösen Adressen blockiert.
Jetzt tauchen temporär nur noch IP-Adressen auf mit einem NTP-Protokoll, was jetzt nicht auffällig ist.

Leider haben es dise NTP-Protokolle es durch meine OPNsense-Firewall geschafft.
Gibt es ein Dienst dafür, welche so welche Pakette droppen kann?
Jemand eine Idee mit welcher Bedrohung ich es zu tun hatte?

Was mich stört:
Es gibt so viel Stellschrauben wo man drehen kann. Ein Wunder, dass ich drauf gekommen bin!
Meiner Einschätzung ist diese Bedrohung sehr schlimm für eine private Person.
Ich bin gerade mal ein Anwender, habe mich aber mit OPNsense und OpenBSD so intensive beschäfftigt,
bis ich endlich dahinter gekommen bin und mein Ziel "Take back your Network" erreicht habe.
Ich kann garnicht sagen und erklären , was das für einen Schaden es bei mir ausgelöst und angerichet hat.

Vielleicht ließt meine Nachricht ja jemand, das sich damit auskennt und mit meinem Report
was anfangen kann. Ich würde mich freuen, wenn man dem auf die Schliche kommt! Diese NTP-Protokolle sind auch nicht in der Unbound Statistik aufgetaucht! Ich hoffe es ist relevant was ich euch mit teile!

Beste Grüße
Bud Puffy

Update:
ip85.215.189.120.pbiaas.com
srv.hueske-edv.de
strtum2-1.ntp.techfak.net
sind noch dazu gekommen.

Jetzt wander der Traffic von den NTP-Protokollen nur noch zwischen pool.ntp.org und time.cloudflare.com.
Diese Domains sind mir aber bekannt. Es tauchen auch keine anderen IP Adressen als NTP-Protokoll auf.

Ich bin nur einfacher Anwender und verstehe von dem Ding nicht viel, aber mit meinem Post tue ich niemand etwas, mir scheint die Sache nur etwas seltsam, warum ich das hier teile.

Update2:
Auf https://github.com/firehol/blocklist-ipsets habe ich eine NTP Blockliste gefunden.
"IP Feed about ntp, crawled from several sources, including several twitter accounts."
https://github.com/firehol/blocklist-ipsets/blob/master/urandomusto_ntp.ipset
Unter Unbound -> Sperrliste -> erweiterter Modus ->  URLs of Blocklists  eingefügt.

Gut so. cya

[mooh]

Und welches Problem hat das Filtern gelöst? Verbreiten die Server falsche Zeit oder ist das gar kein NTP Traffic? Warum benutzen Deine NTP Server/Clients überhaupt diese Server, wenn Du nur von pool.ntp.org und time.cloudflare.com Zeitinfos beziehen möchtest? Wenn sie Teil dieser Pools sind und Du denen nicht traust, solltest Du vielleicht Deine NTP Server genauer auswählen, als über einen Pool.

[budflow]

Stimmt. Das Filtern hat mein Problem nicht gelöst.

Aber ich habe eine gute Lösung gefunden.

In OpenBSD habe ich den Dienst NTPd deaktiviert. (rcctl disable ntpd)
Sowohl auch in OPNsense (Server von der Liste Dienst Netzwerk-Zeit gelöscht, deaktiviert ntpd.)

Anstelle dem habe ich Chrony hinzugefügt und eingerichtet. (mit Client Modus enable.)

Was mich gestört hat, kann ich nicht sagen, doch jetzt läuft es wieder zu meiner Zufriedenheit.

[mimugmail]

Vielleicht haben die Leute ihre Hosts als NTP Server registriert, wenn du dann nur auf dem LAN filterst kann das nicht greifen weil die OPNsense das als ausgehendes Paket behandelt