странный NTP трафик

10

У меня есть несколько виртуальных машин openSUSE (в основном 13.1). Одна из виртуальных машин настроена на синхронизацию своего времени с внешним миром, другие синхронизируются с этой. Это никогда не вызывало проблем (о которых я знаю).

Теперь я заметил, что ntpd на внешне подключенной виртуальной машине вызывает около 9% загрузки ЦП (постоянно!) И устанавливает подключения к 15+ хостам, вызывая исходящий трафик около 100 Кбит / с и входящий трафик на немного более низком уровне (все от / до моего UDP-порт 123) - который даже продолжается (теперь в течение нескольких минут) после того, как я остановил ntpd, и такого исходящего трафика больше нет.

Я настроил ntpd для адреса пула de.pool.ntp.org, но это не имеет значения.

Я сделал обновление дистрибутива (загрузка с DVD), а затем даже переустановил ntp без каких-либо изменений.

Изменить: проблема "решена"

После того, как я заблокировал входящий UDP, 123 полностью ntpdработает нормально. Я до сих пор не понимаю, что могло быть причиной этого. Не должно быть возможности подключиться к этому порту виртуальной машины извне. В маршрутизаторе VDSL нет переадресации портов.

Но: несколько минут назад я отправил пакет UDP на порт 123 из Интернета и (как бы то ни было) маршрутизатор VDSL передал его в виртуальную машину. Если я повторю это сейчас, то пакет больше не достигает виртуальной машины. Возможно, это было странным побочным эффектом NAT для многих соединений UDP 123.

Я собираюсь заблокировать этот трафик, за исключением предполагаемых серверов.

Хауке Лагинг
источник
О каких хозяевах идет речь?
Фахим Митха
2
Это было в новостях недавно: blog.cloudflare.com/… . Самая большая атака из когда-либо зарегистрированных была достигнута с использованием NTPD в качестве усиления атаки.
SLM
1
Возможно, что внешний доступ был разрешен через UPnP, а не через явную переадресацию порта. Хотя вряд ли.
Боб

Ответы:

14

Если у вас включено NTP Reflection, ваши NTP-серверы могут использоваться как часть DDoS. Чтобы убедиться, что отражение NTP отключено, добавьте это в ntp.conf:

disable monitor

Затем перезапустите все ntpслужбы.

Дополнительная информация о DDoS на основе NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

phoops
источник
Смотрите редактирование на мой вопрос. Я немного запутался, потому что эта система не должна была быть доступна на этом порту снаружи.
Хауке Лагинг