|
|||
|
Как защититься от RPC portmapper DDoS на 111 портуRPC Portmapper служит для обеспечения сервисов Remote Procedure Call, таких как NIS и NFS. Он устанавливается по умолчанию во многих современных дистрибутивах на Linux и слушает 111 порт (TCP и UDP). Если 111 порт с rpcbind доступен из интернет для всех, то этим могут воспользоваться для проведения DDoS-атаки: на сервис отправляется UDP-пакет, в котором подделывается исходящий IP-адрес на адрес атакуемого компьютера, и portmapper шлет жертве список переназначения портов. Чтобы избежать блокировки IP за участие, хоть и не преднамеренное, в DDoS, необходимо ограничить доступ к 111 порту по IP или отключить или даже удалить RPC portmapper, если он не используется. Некоторые провайдеры, например Hetzner, рассылают своим клиентам Для начала нужно определить, открыт ли 111 порт: # lsof -i:111 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME systemd 1 root 38u IPv6 525138 0t0 TCP *:sunrpc (LISTEN) systemd 1 root 46u IPv4 525139 0t0 TCP *:sunrpc (LISTEN) rpcbind 15801 rpc 4u IPv6 525138 0t0 TCP *:sunrpc (LISTEN) rpcbind 15801 rpc 5u IPv4 525139 0t0 TCP *:sunrpc (LISTEN) rpcbind 15801 rpc 8u IPv4 1026896 0t0 UDP *:sunrpc rpcbind 15801 rpc 10u IPv6 1021461 0t0 UDP *:sunrpc Если в выводе, как в примере выше есть несколько строк с LISTEN, и к 111 порту может подключиться любой желающий, следует заблаговременно предпринять меры по защите от атаки. Отключение и удаление rpcbind или portmapНиже - примеры команд для отключения сервиса rpcbind (может называться portmap в некоторых системах) в различных дистрибутивах Linux: Debian 8, CentOS 7, Debian 7, CentOS 6, Debian 5 и Ubuntu. Отключение rpcbind в Debian 8 и Centos 7
# systemctl stop rpcbind # systemctl disable rpcbind Отключение rpcbind в Debian 7 и Ubuntu
# /etc/init.d/rpcbind stop # update-rc.d -f rpcbind remove Отключение portmap в Debian 6
# /etc/init.d/portmap stop # update-rc.d -f portmap remove Для всех операционных систем производится одно и то же действие: отключение сервиса и запрет его автозапуска. После ввода команд по отключению службы RPC portmapper следует проверить 111 порт. Теперь, при желании сэкономить немного места на диске, можно удалить сервис: Debian 8, Debian 7 и Ubuntu
# apt-get remove rpcbind Centоs 7 и Centоs 6
# yum remove rpcbind Debian 6
# apt-get remove portmap Защита RPC portmapperЕсли RPC portmapper нужен для работы других сервисов, то в обязательном порядке необходимо ограничить доступ к нему, разрешив подключение только для определенных IP. Это можно сделать при помощи firewall, ограничив доступ к 111 порту TCP и UDP. В примере ниже, прописываются правила, которые разрешают доступ только для localhost и IP-адресов IPv4 в диапазоне 10.10.10.1 - 10.10.10.255. Следует помнить, что в firewall важен порядок следования правил. # iptables -A INPUT -p udp -s 10.10.10.0/24 --dport 111 -j ACCEPT # iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT # iptables -A INPUT -p udp --dport 111 -j DROP Не стоит забывать, что поскольку RPC portmapper доступен и по IPv6, нужно прописать правила блокировки или белый список и для адресного пространства IPv6. После применения всех правил firewall, стоит убедиться, что 111 порт доступен только для избранных. Опубликовано: 2017/09/03
HTML-код ссылки на эту страницу:
<a href="https://petrenco.com/linux.php?txt=715" target="_blank">Как защититься от RPC portmapper DDoS на 111 порту</a> 16827
Добавить комментарий
|