<div dir="ltr">With all this domestic (heh NZ) traffic being used, is this looking like a specifically targeted AU attack, or are we seeing global hosts as well (but being blocked overshore)?</div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Thu, Feb 13, 2014 at 4:22 PM, Zone Networks - Joel <span dir="ltr"><<a href="mailto:joel@zonenetworks.com.au" target="_blank">joel@zonenetworks.com.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div lang="EN-AU" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:#1f497d">Hi Guys<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal">
<span style="color:#1f497d">Our gaming network is seeing inbound traffic across, eqx ix, pipe ix and vocus, all domestic traffic if you include NZ as domestic </span><span style="font-family:Wingdings;color:#1f497d">J</span><span style="color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">So a lot of ntp still open in aus/nz<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d">Regards<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Joel<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> AusNOG [mailto:<a href="mailto:ausnog-bounces@lists.ausnog.net" target="_blank">ausnog-bounces@lists.ausnog.net</a>] <b>On Behalf Of </b>Sean K. Finn<br>
<b>Sent:</b> Thursday, 13 February 2014 4:05 PM<br><b>To:</b> 'James Braunegg'; <a href="mailto:ausnog@lists.ausnog.net" target="_blank">ausnog@lists.ausnog.net</a><br><b>Subject:</b> Re: [AusNOG] NTP Reflection coming in over Equinix IX<u></u><u></u></span></p>
</div></div><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">G’day James,<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">Firstly thank you for sharing.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal">
<span lang="EN-US" style="color:#1f497d">We’ve had in the order of 100-200 hosts being reflectors in the past few weeks launching outbound, however this is the first time we’ve been on the receiving end of an NTP.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">What makes this stand out from the every-day DDOS is there were many, many hosts coming in across peering.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">We’re dropping the ntp traffic at the firewalls internally, it’s not causing an issue once it gets to us, more of a curiosity that so many Australian connected peers are still reflecting, and importantly haven’t yet been exploited or cleaned up.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><br>Thankfully we’ve been able to clean up the hosts on our network one by one as they launch attacks outbound. (Much like in years past when DNS amplification was all the rage).<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">We’ve noticed a few older ESXi hosts have ntp enabled by default and are susceptible as well, these boxes only started participating in outbound attacks within the last two weeks though, as well as Junipers reflecting.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">Prior to that it was mainly older linux hosts.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">I’m guessing there are slightly different permutations to the NTP attack and its being refined slowly over time to identify the ever-diminishing reflection fruit.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">-Another oddity:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">The SOURCE IP’s were all NTP, UDP port 123.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">The RECEIVING IPs at this end were destination PORT 80, UDP.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">iknowrite.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d">Sean.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p><div><div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> James Braunegg [<a href="mailto:james.braunegg@micron21.com" target="_blank">mailto:james.braunegg@micron21.com</a>] <br>
<b>Sent:</b> Thursday, February 13, 2014 2:52 PM<br><b>To:</b> Sean K. Finn; <a href="mailto:ausnog@lists.ausnog.net" target="_blank">ausnog@lists.ausnog.net</a><br><b>Subject:</b> RE: NTP Reflection coming in over Equinix IX<u></u><u></u></span></p>
</div></div><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style>Dear Sean<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style>If you can filter on packet size you should find the attack request for the inbound NTP request is 50bytes in size, if you can drop this inbound request via pattern matching this will stop the request attack traffic in its place from reaching anything downstream !<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style>It also is important to understand if you are being targeted by a NTP attack or do you have hosts within your network precipitating in an attack.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style>If you need any help just ask !<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style>Kindest Regards<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p>
<div><p class="MsoNormal"><b><span lang="EN-US" style="font-family:"Verdana","sans-serif"">James Braunegg<br></span></b><b><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif"">P:</span></b><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif"">  1300 769 972  |  <b>M:</b>  0488 997 207 |  <b>D:</b>  (03) 9751 7616<u></u><u></u></span></p>
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif"">E:</span></b><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif"">   </span><span lang="EN-US"><a href="mailto:james.braunegg@micron21.com" target="_blank"><span style="font-size:8.0pt;font-family:"Verdana","sans-serif"">james.braunegg@micron21.com</span></a></span><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif"">  |  <b>ABN:</b>  <a href="tel:12%20109%20977%20666" value="+12109977666" target="_blank">12 109 977 666</a>   <br>
<b>W:</b>  </span><span lang="EN-US"><a href="http://www.micron21.com/ddos-protection" target="_blank"><span style="font-size:8.0pt;font-family:"Verdana","sans-serif"">www.micron21.com/ddos-protection</span></a></span><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif"">   <b>T:</b> @micron21<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif""><br>
<img border="0" width="250" height="39" src="cid:image001.jpg@01CF28D7.6105BF40" alt="Description: Description: Description: Description: M21.jpg"><br></span><span style="font-size:8.0pt;font-family:"Verdana","sans-serif"">This message is intended for the addressee named above. It may contain privileged or confidential information. If you are not the intended recipient of this message you must not use, copy, distribute or disclose it to anyone other than the addressee. If you have received this message in error please return the message to the sender by replying to it and then delete the message from your computer.</span><span lang="EN-US" style="font-size:8.0pt;font-family:"Verdana","sans-serif""><u></u><u></u></span></p>
</div><p class="MsoNormal"><span lang="EN-US" style><u></u> <u></u></span></p><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> AusNOG [</span><span lang="EN-US"><a href="mailto:ausnog-bounces@lists.ausnog.net" target="_blank"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">mailto:ausnog-bounces@lists.ausnog.net</span></a></span><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">] <b>On Behalf Of </b>Sean K. Finn<br>
<b>Sent:</b> Thursday, February 13, 2014 3:37 PM<br><b>To:</b> </span><span lang="EN-US"><a href="mailto:ausnog@lists.ausnog.net" target="_blank"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">ausnog@lists.ausnog.net</span></a></span><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""><br>
<b>Subject:</b> [AusNOG] NTP Reflection coming in over Equinix IX<u></u><u></u></span></p></div></div><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Hey All,<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">I never thought I’d see the day, we’re seeing local NTP Reflection attacks come in across Equinix peering!<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Thankfully they are very small amounts of traffic but you can see the traffic jump percentage wise.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US"><img border="0" width="596" height="210" src="cid:image002.png@01CF28D7.6105BF40" alt="cid:image002.png@01CF28CC.B4ED8C60"><u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Does anyone have any mitigation stategies across the Equinix IX . (Apart from obvious, i.e. contacting the peer AS’s to asking them to nice mitigate at their end and pray, or droping prefix from Equinix completely.)<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">PS Anyone else on Equinix Syd if you’re smashing outbound on NTP please check <span style="font-family:Wingdings">J</span><u></u><u></u></p><p class="MsoNormal">
<u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">This is the first time we’ve seen reflection attack across peering!<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">
What I once considered safe harbour has now been compromised.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Kind Regards,<u></u><u></u></p><p class="MsoNormal">Sean Finn,<u></u><u></u></p><p class="MsoNormal">
Oz Servers.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><div class="MsoNormal" align="center" style="text-align:center"><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><hr size="1" width="100%" noshade style="color:#d0d3dd" align="center">
</span></div><p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:9.0pt;font-family:"Tahoma","sans-serif";color:silver">Premium Australian Hosting Solution Specialists</span><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><u></u><u></u></span></p>
<div class="MsoNormal" align="center" style="text-align:center"><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><hr size="1" width="100%" noshade style="color:#d0d3dd" align="center">
</span></div><table border="0" cellpadding="0" width="96%" style="width:96.9%"><tbody><tr><td style="padding:.75pt .75pt .75pt .75pt"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">Sean Finn, </span></b><span style="font-size:7.0pt;font-family:"Tahoma","sans-serif"">BInfTech(NetSys)Qld.UT</span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""><u></u><u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">Oz Servers</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""><br>e: </span><a href="mailto:sean.finn@ozservers.com.au" target="_blank"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:blue">sean.finn@ozservers.com.au</span></a><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""><br>
<b>w: </b></span><a href="http://www.ozservers.com.au/" title="http://www.ozservers.com.au/" target="_blank"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:blue">http://www.ozservers.com.au</span></b></a><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""><br>
<b>p: 1300 13 89 69</b></span><span style="font-size:7.5pt;font-family:"Tahoma","sans-serif""> <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Tahoma","sans-serif""><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><u></u> <u></u></span></p></td><td style="padding:.75pt .75pt .75pt .75pt"><p class="MsoNormal" align="right" style="text-align:right">
<span style="font-size:12.0pt;font-family:"Times New Roman","serif""><img border="0" width="140" height="70" src="cid:image003.gif@01CF28D7.6105BF40" alt="ozlogo"><u></u><u></u></span></p></td></tr></tbody></table>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p></div></div></div></div><br>_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
<br></blockquote></div><br></div>