tráfego estranho de NTP

10

Eu tenho um número de VMs do openSUSE (principalmente 13.1). Uma das VMs é configurada para sincronizar seu tempo com o mundo externo, as outras são sincronizadas com essa. Isso nunca causou problemas (que eu conheço).

Agora notei que o ntpd na VM conectada externamente causa cerca de 9% da carga da CPU (permanentemente!) e faz conexões com mais de 15 hosts causando tráfego de saída de cerca de 100K / seo tráfego de entrada em um nível um pouco mais baixo / para minha porta UDP 123) - que continua até (agora por vários minutos) depois que eu parei o ntpd e não há mais nenhum tráfego de saída.

Eu configurei o ntpd para o endereço do pool de.pool.ntp.org, mas isso não faz diferença.

Eu fiz um upgrade de distro (inicializando do DVD) e depois até mesmo reinstalei o ntp sem nenhuma mudança.

Editar: problema "resolvido"

Depois de ter bloqueado o UDP 123 de entrada, completamente ntpd age normalmente. Eu ainda não entendo o que pode ter causado isso. Não deve ser possível conectar-se a essa porta da VM a partir do exterior. Não há encaminhamento de porta no roteador VDSL.

Mas: Há alguns minutos, enviei um pacote UDP para a porta 123 da Internet e (por que) o roteador VDSL passou para a VM. Se eu repetir isso agora, o pacote não alcançará mais a VM. Talvez isso tenha sido um estranho efeito colateral do NAT das muitas conexões do UDP 123.

Vou bloquear esse tráfego, exceto os servidores pretendidos.

    
por Hauke Laging 19.04.2014 / 18:40

1 resposta

14

Se você tiver o NTP Reflection ativado, seus servidores NTP poderão ser usados como parte do DDoS. Para garantir que o reflexo do NTP esteja desativado, adicione isso ao seu ntp.conf :

disable monitor

Em seguida, reinicie todos os ntp services.

Mais informações sobre o DDoS baseado em NTP: link

    
por 19.04.2014 / 18:43

Tags