У меня есть несколько виртуальных машин openSUSE (в основном 13.1). Одна из виртуальных машин настроена на синхронизацию своего времени с внешним миром, другие синхронизируются с этой. Это никогда не вызывало проблем (о которых я знаю).
Теперь я заметил, что ntpd на внешне подключенной виртуальной машине вызывает около 9% загрузки ЦП (постоянно!) И устанавливает подключения к 15+ хостам, вызывая исходящий трафик около 100 Кбит / с и входящий трафик на немного более низком уровне (все от / до моего UDP-порт 123) - который даже продолжается (теперь в течение нескольких минут) после того, как я остановил ntpd, и такого исходящего трафика больше нет.
Я настроил ntpd для адреса пула de.pool.ntp.org, но это не имеет значения.
Я сделал обновление дистрибутива (загрузка с DVD), а затем даже переустановил ntp без каких-либо изменений.
Изменить: проблема "решена"
После того, как я заблокировал входящий UDP, 123 полностью ntpd
работает нормально. Я до сих пор не понимаю, что могло быть причиной этого. Не должно быть возможности подключиться к этому порту виртуальной машины извне. В маршрутизаторе VDSL нет переадресации портов.
Но: несколько минут назад я отправил пакет UDP на порт 123 из Интернета и (как бы то ни было) маршрутизатор VDSL передал его в виртуальную машину. Если я повторю это сейчас, то пакет больше не достигает виртуальной машины. Возможно, это было странным побочным эффектом NAT для многих соединений UDP 123.
Я собираюсь заблокировать этот трафик, за исключением предполагаемых серверов.
Ответы:
Если у вас включено NTP Reflection, ваши NTP-серверы могут использоваться как часть DDoS. Чтобы убедиться, что отражение NTP отключено, добавьте это в
ntp.conf
:Затем перезапустите все
ntp
службы.Дополнительная информация о DDoS на основе NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
источник