Shodan збирав IPv6-адреси NTP-клієнтів і сканував їх у відповідь

Однією з переваг IPv6 є відсутність необхідності NAT через велику кількість адрес в цілому і довжину виданих користувачам підмереж зокрема. Здавалося б, ніхто просто так не підключиться до якогось одноплатника, який ви тільки-тільки підключили в домашню мережу з підтримкою IPv6. Ніхто ж, у здоровому глузді, не буде сканувати всю вашу підсіти. Якщо весь IPv4-інтернет можна просканувати протягом десятків хвилин, то на повне сканування однієї тільки/64 (мінімальна підсіти, рекомендована до видачі клієнтам) підуть десятки тисяч років. До того ж, якщо якимось чином зловмисник дізнався вашу IPv6-адресу, завжди можна активувати підтримку IPv6 Privacy Extensions, з якими ваша адреса буде рандомізуватися раз на добу або частіше.

Здавалося б, ймовірність сканування вашого одноплатника, який не звертається до зовнішніх ресурсів, вкрай низька. Однак, є одна річ, яка налаштована майже на кожному комп'ютері - періодична синхронізація часу через NTP.

NTP

Більшість дистрибутивів Linux встановлюються з налаштованою автоматичною синхронізацією часу через NTP, використовуючи сервери pool.ntp.org. Як виявилося, стати частиною pool.ntp.org досить просто, чим і скористалися Shodan, задіявши 5 NTP-серверів в різних частинах світу, для вірності використовуючи кілька IP-адрес на одному сервері, щоб ймовірність потрапляння запиту клієнта саме на їх сервер була вище. Таким чином, у пулі ntp.org опинилося 45 IPv6-адрес машин Shodan, які сканують будь-яку IPv6-адресу, що підключається до них, у відповідь.

Виявив факт сканування і вирахував всі сервери Shodan Brad Hein. Обчислити всі скануючі NTP-сервери вручну досить складно, оскільки NTP-демон звертається до багатьох NTP-серверів послідовно для більш точної синхронізації часу. Для автоматизації процесу був написаний скрипт, який обробляє журнал файрволла і з'єднується з підозрілими хостами ще раз, щоб упевнитися, що вони дійсно сканують у відповідь, використовуючи свіжу тимчасову IPv6-адресу.

Підтвердити приналежність хостів до Shodan було досить легко - майже всі сервери використовували справжні імена хостів в PTR-записи, виду * .scan6.shodan.io

На даний момент, сервери Shodan виключили з пулу ntp.org.

Як захиститися?

SANS рекомендує налаштувати свій власний NTP-сервер в локальній мережі, який буде синхронізуватися з довіреними серверами NTP, або ж використовуючи супутники GPS або час базових станцій операторів через GSM. Варто відразу безпечно налаштувати NTP-сервер, дотримуючись, наприклад, спеціальної інструкції. Необхідно пам'ятати, що в протоколі NTP існує команда MONLIST, яка видає адреси всіх нещодавно оновлюваних часу клієнтів, тому будьте пильні при виборі довіреного сервера - вибирайте той, де вона відключена.

Ув'язнення

Bj^ rn Hansen вважає, що незабаром можуть з'явитися сервіси, що збирають активні IPv6-адреси, і продають списки третім особам. «Вибирайте веб-сайти, які ви відвідуєте, з обережністю».

Посилання

arstechnica.com/security/2016/02/using-ipv6-with-linux-youve-likely-been-visited-by-shodan-and-other-scanners

netpatterns.blogspot.de/2016/01/the-rising-sophistication-of-network.html

isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681

COM_SPPAGEBUILDER_NO_ITEMS_FOUND