защита от RPC PORTMAPPER DDOS

Сегодня хостер предупредил о возможности ddos-атаки с помощью RPC PORTMAPPER. Возможность данной атаки выявлена еще в 2015 году и она актуальна до сих пор.

Portmapper (RPC Portmapper), обеспечивающих сервисы Remote Procedure Call (например, NIS и NFS), всегда работает по 111 порту TCP или UDP. Сама атака заключается в отправке UDP-пакета (с указанием ip-адреса жертвы как исходящего) на сервер, использующий Portmapper. В ответ Portmapper честно шлет список сетевых сервисов для переназначения портов, но уже на адрес жертвы.

Проверяем наличие сервиса на порту:

lsof -i:111
#COMMAND  PID USER   FD   TYPE     DEVICE SIZE/OFF NODE NAME
#rpcbind 1555 root    6u  IPv4 1123855606      0t0  UDP *:sunrpc
#rpcbind 1555 root    8u  IPv4 1123855614      0t0  TCP *:sunrpc (LISTEN)
#rpcbind 1555 root    9u  IPv6 1123855617      0t0  UDP *:sunrpc
#rpcbind 1555 root   11u  IPv6 1123855621      0t0  TCP *:sunrpc (LISTEN)

Можно — Отключить данный сервис:
Centos 6

service rpcbind stop
chkconfig rpcbind off

Centos 7

systemctl stop rpcbind
systemctl disable rpcbind

Debian 6

/etc/init.d/portmap stop
update-rc.d -f portmap remove

Debian 7; Ubuntu 12.04, 14.04

/etc/init.d/rpcbind stop
update-rc.d -f rpcbind remove

Debian 8

systemctl stop rpcbind
systemctl disable rpcbind

Удалить сервис:
Centоs

yum remove rpcbind

Debian 6

apt-get remove postmap

Debian (7 и 8), Ubuntu

apt-get remove rpcbind

Заблокировать порт сервиса для внешних подключений:

iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j DROP

Профит ;-)

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.