strano traffico NTP


10

Ho un numero di VM openSUSE (principalmente 13.1). Una delle macchine virtuali è configurata per sincronizzare l'ora con il mondo esterno, le altre si sincronizzano con questa. Ciò non ha mai causato problemi (di cui sono a conoscenza).

Ora ho notato che ntpd sulla VM connessa all'esterno causa circa il 9% di carico della CPU (in modo permanente!) E crea connessioni a 15+ host causando un traffico in uscita di circa 100K / se un traffico in entrata a un livello leggermente inferiore (tutto da / a mio Porta UDP 123) - che continua anche (ora per diversi minuti) dopo aver interrotto ntpd e non esiste più tale traffico in uscita.

Avevo configurato ntpd all'indirizzo del pool de.pool.ntp.org ma questo non fa differenza.

Ho fatto un aggiornamento distro (avvio da DVD) e successivamente ho anche reinstallato ntp senza alcuna modifica.

Modifica: problema "risolto"

Dopo aver bloccato UDP 123 in entrata ntpdfunziona completamente normalmente. Ancora non capisco cosa possa aver causato questo. Non dovrebbe essere possibile connettersi a questa porta VM dall'esterno. Non è presente il port forwarding nel router VDSL.

Ma: pochi minuti fa ho inviato un pacchetto UDP alla porta 123 da Internet e (comunque) il router VDSL lo ha passato alla VM. Se lo ripeto adesso, il pacchetto non raggiunge più la VM. Forse quello era uno strano effetto collaterale NAT delle molte connessioni UDP 123.

Ho intenzione di bloccare questo traffico ad eccezione dei server previsti.


Quali sono gli host in questione?
Faheem Mitha,

2
Questo è stato di recente nelle notizie: blog.cloudflare.com/… . L'attacco più grande mai registrato è stato realizzato usando l'NTPD come attacco di amplificazione.
slm

1
È possibile che l'accesso esterno sia stato consentito tramite UPnP piuttosto che un port forward esplicito. Tuttavia, è improbabile.
Bob,

Risposte:


14

Se hai abilitato NTP Reflection, i tuoi server NTP potrebbero essere utilizzati come parte di DDoS. Per assicurarti che la riflessione NTP sia disabilitata, aggiungi questo al tuo ntp.conf:

disable monitor

Quindi riavviare tutti i ntpservizi.

Ulteriori informazioni su DDoS basato su NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks


Vedi la modifica alla mia domanda. Sono un po 'confuso perché questo sistema non avrebbe dovuto essere raggiungibile su questa porta dall'esterno.
Hauke ​​Laging,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.