DLink 產品的DDOS攻擊行為.

這件事是有一個 NTP Server administrator 發現他的 Server 被攻擊, 然後 log 下所有的封包(每秒 37 個, NNTPv1 的). 進而追蹤的故事.
這些封包來自不同的地方, 而且都是非假造的 Packet, 數量之多, 範圍之大, 前所未見

這個 Administrator 追了很久,
原來是 DLink在他們的 Device 內植入一個 NTP Server 的列表, 會自動偵測 NTP Server 是不是 Live, 如果是, 會選擇一個 NTP Server 做為對時使用.

D-Link 賣出產品的數量應該不在少數, 如果這樣搞的話, 有多少 NTP Server Administrator 受得了, 一年應該有千萬台這樣的產品推出, 要是每個人都這樣搞, 再多的 NTP Server 都不夠用吧(想想看大家都去 root DNS 查詢的慘況, 要不然像種花電信的 168.95.1.1 背後只有一台 Server.)

這個故事告訴我們, 以後做消費性電子產品要特別小心, 像這種會每小時去查詢別人 Server 的 Protocol.
還是小心 implement 為妙, 免得吃上官司事上, 賠上整個企業的形像事大

ref.
Open Letter to the NTP community about D-Link’s NTP vandalism
When Firmware Attacks! (DDoS by D-Link)

On this day..

Comments

comments

Related Posts
  1. Using WordPress WordPress 2.1

    […] 看到 richliu 這篇 DLink 產品的DDOS攻擊行為.,我才想到前陣子在 TaopaiC 那邊看到的 [From Digg] Open Letter to D-Link about their NTP vandalism… […]

  2. Using WordPress WordPress 2.1

    […] 事情的始末可以參考我之前寫的 NTP 與 DNS 以及 richliu 寫的 DLink 產品的DDOS攻擊行為.。 […]

  3. Using Opera Opera 9.22 on Windows Windows XP

    well, 這些公司在教育工程師的時候是不會擔心企業形象的吧。

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackbacks and Pingbacks: