tráfego NTP estranho


10

Eu tenho várias VMs do openSUSE (principalmente 13.1). Uma das VMs está configurada para sincronizar seu tempo com o mundo exterior, as outras sincronizam com este. Isso nunca causou problemas (que eu saiba).

Agora notei que o ntpd na VM conectada externamente causa cerca de 9% da carga da CPU (permanentemente!) E faz conexões com mais de 15 hosts, causando tráfego de saída de cerca de 100K / se tráfego de entrada em um nível um pouco mais baixo (tudo de / para o meu Porta UDP 123) - que continua (agora por alguns minutos) depois que eu parei o ntpd e não existe mais esse tráfego de saída.

Eu havia configurado o ntpd no endereço do pool de.pool.ntp.org, mas isso não faz diferença.

Fiz uma atualização de distribuição (inicializando em DVD) e depois reinstalei o ntp sem nenhuma alteração.

Edit: problema "resolvido"

Depois de bloquear o UDP 123 recebido, ele ntpdage completamente normalmente. Ainda não entendo o que pode ter causado isso. Não deve ser possível conectar-se a esta porta da VM de fora. Não há encaminhamento de porta no roteador VDSL.

Mas: Alguns minutos atrás, enviei um pacote UDP para a porta 123 da Internet e (por que razão) o roteador VDSL passou para a VM. Se eu repetir isso agora, o pacote não alcançará mais a VM. Talvez esse tenha sido um estranho efeito colateral do NAT de muitas conexões UDP 123.

Vou bloquear esse tráfego, exceto os servidores pretendidos.


Quais são os hosts em questão?
Faheem Mitha

2
Isso foi notícia recentemente: blog.cloudflare.com/… . O maior ataque já registrado foi alcançado usando o NTPD como ataque de amplificação.
Slm

1
É possível que o acesso externo tenha sido permitido via UPnP, em vez de um encaminhamento explícito de porta. Improvável, no entanto.
Bob

Respostas:


14

Se você tiver o NTP Reflection ativado, seus servidores NTP poderão ser usados ​​como parte do DDoS. Para garantir que a reflexão NTP esteja desabilitada, adicione isto ao seu ntp.conf:

disable monitor

Em seguida, reinicie todos os ntpserviços.

Mais informações sobre DDoS baseado em NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks


Veja a edição da minha pergunta. Estou um pouco confuso porque esse sistema não deveria ter sido acessado nessa porta do lado de fora.
perfil completo de Hauke ​​Laging
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.