Mam wiele maszyn wirtualnych openSUSE (głównie 13.1). Jedna z maszyn wirtualnych jest skonfigurowana do synchronizowania czasu ze światem zewnętrznym, a inne synchronizują się z tym światem. To nigdy nie spowodowało problemów (o których jestem świadomy).
Teraz zauważyłem, że ntpd na maszynie wirtualnej podłączonej na zewnątrz powoduje około 9% obciążenia procesora (na stałe!) I nawiązuje połączenia z ponad 15 hostami powodując ruch wychodzący około 100 K / si ruch przychodzący na nieco niższym poziomie (wszystkie z / do mojego Port UDP 123) - który nawet trwa (teraz przez kilka minut) po tym, jak zatrzymałem ntpd i nie ma już takiego ruchu wychodzącego.
Skonfigurowałem ntpd na adres puli de.pool.ntp.org, ale to nie robi różnicy.
Zrobiłem aktualizację dystrybucji (bootowanie z DVD), a potem nawet ponownie zainstalowałem NTTP bez żadnych zmian.
Edycja: problem „rozwiązany”
Po zablokowaniu przychodzącego UDP 123 ntpd
działa całkowicie normalnie. Nadal nie rozumiem, co mogło to spowodować. Połączenie z tym portem maszyny wirtualnej z zewnątrz nie powinno być możliwe. W routerze VDSL nie ma przekierowania portów.
Ale: Kilka minut temu wysłałem pakiet UDP do portu 123 z Internetu i (dlaczego) router VDSL przekazał go do maszyny wirtualnej. Jeśli powtórzę to teraz, pakiet nie dotrze już do maszyny wirtualnej. Być może był to dziwny efekt uboczny NAT wielu połączeń UDP 123.
Mam zamiar zablokować ten ruch z wyjątkiem zamierzonych serwerów.
Odpowiedzi:
Jeśli masz włączone NTP Reflection, twoje serwery NTP mogą być używane jako część DDoS. Aby upewnić się, że odbicie NTP jest wyłączone, dodaj to do
ntp.conf
:Następnie uruchom ponownie wszystkie
ntp
usługi.Więcej informacji na temat DDoS opartych na NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
źródło