奇妙なNTPトラフィック


10

私はいくつかのopenSUSE VMを持っています(ほとんど13.1)。VMの1つは時間を外部の世界と同期するように構成され、他のVMはこの時間と同期します。これは問題を引き起こしたことはありません(私が知っていること)。

今、私は外部接続されたVMのntpdが約9%のCPU負荷を引き起こし(永久に!)、15以上のホストへの接続を作成し、約100K / sの送信トラフィックと少し低いレベルの受信トラフィック(すべてから/ UDPポート123)– ntpdを停止した後も(今は数分間)継続し、そのような送信トラフィックはもうありません。

ntpdをプールアドレスde.pool.ntp.orgに設定しましたが、違いはありません。

私はディストリビューションのアップグレード(DVDからのブート)を行い、その後何も変更せずにntpを再インストールしました。

編集:「解決済み」の問題

着信UDP 123をブロックした後、完全にntpd正常に動作します。何が原因かはまだわかりません。外部からこのVMポートに接続することはできません。VDSLルーターにはポート転送はありません。

しかし:数分前に、インターネットからポート123にUDPパケットを送信し、VDSLルーターが(それでも)VMに渡しました。ここで繰り返しますと、パケットはVMに到達しません。多分それは多くのUDP 123接続の奇妙なNAT副作用でした。

目的のサーバーを除いて、このトラフィックをブロックします。


問題のホストは何ですか?
Faheem Mitha、2014

2
これは最近ニュースに出ました:blog.cloudflare.com/…。これまでに記録された最大の攻撃は、増幅攻撃としてNTPDを使用して達成されました。
slm

1
明示的なポート転送ではなく、UPnPを介した外部アクセスが許可された可能性があります。おそらくそうではない。
ボブ

回答:


14

NTPリフレクションを有効にしている場合、NTPサーバーがDDoSの一部として使用される可能性があります。NTPリフレクションが無効になっていることを確認するには、これをに追加しますntp.conf

disable monitor

次に、すべてのntpサービスを再起動します。

NTPベースのDDoSの詳細:http : //blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks


私の質問の編集を参照してください。このシステムは外部からこのポートに到達できなかったはずなので、少し混乱しています。
Hauke Laging 14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.