Shodan збирав IPv6-адреси NTP-клієнтів і сканував їх у відповідь

Одним з переваг IPv6 є відсутність необхідності NAT з-за великої кількості адрес в цілому і довжини видаються користувачам підмереж зокрема. Здавалося б, ніхто просто так не підключитися до якого-небудь одноплатнику, який ви тільки-тільки підключили в домашню мережу з підтримкою IPv6. Ніхто ж, у здоровому глузді, не буде сканувати всю вашу підмережа. Якщо весь IPv4-інтернет можна просканувати протягом десятків хвилин, то на повне сканування однієї тільки /64 (мінімальна підмережа, рекомендована до видачі клієнтам) підуть десятки років. До того ж, якщо якимось чином зловмисник дізнався ваш IPv6-адресу, завжди можна активувати підтримку IPv6 Privacy Extensions, з якими ваша адреса буде рандомизироваться раз на добу або частіше.
Здавалося б, ймовірність сканування вашого одноплатника, який не звертається до зовнішніх ресурсів, вкрай низька. Однак, є одна річ, яка налаштована майже на кожному комп'ютері — періодична синхронізація часу через NTP.

NTPПереважна більшість дистрибутивів Linux встановлюються з налаштованої автоматичною синхронізацією часу через NTP, використовуючи сервери pool.ntp.org. Як виявилося, стати частиною pool.ntp.org досить просто, чим і скористалися Shodan, задіявши 5 NTP-серверів в різних частинах світу, для вірності використовуючи кілька IP-адрес на одному сервері, щоб ймовірність попадання запиту клієнта саме на їх сервер була вище. Таким чином, у пулі ntp.org виявилося 45 IPv6 адрес машин Shodan, які сканують будь підключається до них IPv6-адресу у відповідь.
Виявив факт сканування і вичислив всі сервери Shodan Brad Hein. Обчислити всі скануючі NTP-сервери вручну досить складно, оскільки NTP-демон звертається до багатьох NTP-серверів послідовно для більш точної синхронізації часу. Для автоматизації процесу був написаний скрипт, який обробляє журнал файрволла і з'єднується з підозрілими хостами ще раз, щоб переконатися, що вони дійсно сканують у відповідь, використовуючи свіжий тимчасовий IPv6-адресу.
Підтвердити належність до хостів Shodan було досить легко — майже всі сервери використовували справжні імена хостів в PTR запису, виду *.scan6.shodan.io

На даний момент, сервери Shodan виключили з пулу ntp.org.

Як захиститися?SANS рекомендує налаштувати свій власний NTP-сервер в локальній мережі, який буде синхронізуватися з довіреними серверів NTP, або ж використовуючи супутники GPS або час базових станцій операторів через GSM. Варто відразу безпечно налаштувати NTP-сервер, слідуючи, наприклад, спеціальною інструкції. Необхідно пам'ятати, що в протоколі NTP існує команда MONLIST, яка видає адреси усіх нещодавно обновлявших час клієнтів, тому будьте пильні при виборі довіреної сервера.

ВисновокBjørn Hansen вважає, що незабаром можуть з'явитися сервіси, збирають активні IPv6-адреси, і продають списки третім особам. «Вибирайте веб-сайти, які ви відвідуєте, з обережністю».

Посиланняarstechnica.com/security/2016/02/using-ipv6-with-linux-youve-likely-been-visited-by-shodan-and-other-scanners
netpatterns.blogspot.de/2016/01/the-rising-sophistication-of-network.html
isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.