garip NTP trafiği


10

Birkaç openSUSE VM'im var (çoğunlukla 13.1). VM'lerden biri, zamanını dış dünyayla senkronize etmek için yapılandırılmış, diğeri ise bu dünya ile senkronize. Bu hiçbir zaman sorun yaratmadı (farkında olduğum).

Şimdi, dışa bağlı VM'deki ntpd'nin yaklaşık% 9 CPU yüküne (kalıcı olarak!) Neden olduğunu ve yaklaşık 100K / s'lik giden trafiğe ve biraz daha düşük bir düzeyde gelen trafiğe neden olan 15+ ana bilgisayara bağlantı yaptığını fark ettim. UDP bağlantı noktası 123) - ntpd'yi durdurduktan sonra (şimdi birkaç dakika boyunca) devam ediyor ve artık böyle bir giden trafik yok.

Havuz adresi de.pool.ntp.org için ntpd yapılandırmıştı ama bu bir fark yaratmıyor.

Bir distro yükseltme (DVD'den önyükleme) yaptım ve daha sonra ntp'yi herhangi bir değişiklik yapmadan yeniden yükledim.

Düzenleme: sorun "çözüldü"

Gelen UDP 123'ü bloke ettikten sonra tamamen ntpdnormal davranıyor. Buna neyin sebep olabileceğini hala anlamıyorum. Bu VM bağlantı noktasına dışarıdan bağlanmak mümkün olmamalıdır. VDSL yönlendiricide bağlantı noktası iletme yok.

Ancak: Birkaç dakika önce 123 numaralı bağlantı noktasına Internet'ten bir UDP paketi gönderdim ve (nedense) VDSL yönlendiricisi VM'ye iletti. Bunu şimdi tekrarlarsam, paket artık VM'ye ulaşmaz. Belki de bu, birçok UDP 123 bağlantısının tuhaf bir NAT yan etkisiydi.

Amaçlanan sunucular dışında bu trafiği engelleyeceğim.


Söz konusu ev sahipleri nedir?
Faheem Mitha

2
Bu son zamanlarda haberlerde vardı: blog.cloudflare.com/… . Şimdiye kadar kaydedilen en büyük saldırı NTPD kullanılarak bir amplifikasyon saldırısı olarak gerçekleştirildi.
slm

1
Harici erişime, açık bir bağlantı noktası yerine UPnP aracılığıyla izin verilebilir. Olması muhtemel değil.
Bob

Yanıtlar:


14

NTP Reflection'ı etkinleştirdiyseniz NTP sunucularınız DDoS'un bir parçası olarak kullanılabilir. NTP yansımasının devre dışı olduğundan emin olmak için şunu ekleyin ntp.conf:

disable monitor

Ardından tüm ntphizmetleri yeniden başlatın .

NTP tabanlı DDoS hakkında daha fazla bilgi: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks


Sorumun düzenlemesine bakın. Biraz kafam karıştı çünkü bu sisteme bu limanda dışarıdan erişilmemeliydi.
Hauke ​​Laging
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.