dziwny ruch NTP

10

Mam wiele maszyn wirtualnych openSUSE (głównie 13.1). Jedna z maszyn wirtualnych jest skonfigurowana do synchronizowania czasu ze światem zewnętrznym, a inne synchronizują się z tym światem. To nigdy nie spowodowało problemów (o których jestem świadomy).

Teraz zauważyłem, że ntpd na maszynie wirtualnej podłączonej na zewnątrz powoduje około 9% obciążenia procesora (na stałe!) I nawiązuje połączenia z ponad 15 hostami powodując ruch wychodzący około 100 K / si ruch przychodzący na nieco niższym poziomie (wszystkie z / do mojego Port UDP 123) - który nawet trwa (teraz przez kilka minut) po tym, jak zatrzymałem ntpd i nie ma już takiego ruchu wychodzącego.

Skonfigurowałem ntpd na adres puli de.pool.ntp.org, ale to nie robi różnicy.

Zrobiłem aktualizację dystrybucji (bootowanie z DVD), a potem nawet ponownie zainstalowałem NTTP bez żadnych zmian.

Edycja: problem „rozwiązany”

Po zablokowaniu przychodzącego UDP 123 ntpddziała całkowicie normalnie. Nadal nie rozumiem, co mogło to spowodować. Połączenie z tym portem maszyny wirtualnej z zewnątrz nie powinno być możliwe. W routerze VDSL nie ma przekierowania portów.

Ale: Kilka minut temu wysłałem pakiet UDP do portu 123 z Internetu i (dlaczego) router VDSL przekazał go do maszyny wirtualnej. Jeśli powtórzę to teraz, pakiet nie dotrze już do maszyny wirtualnej. Być może był to dziwny efekt uboczny NAT wielu połączeń UDP 123.

Mam zamiar zablokować ten ruch z wyjątkiem zamierzonych serwerów.

Hauke ​​Laging
źródło
Co to za gospodarze?
Faheem Mitha
2
To było w wiadomościach ostatnio: blog.cloudflare.com/... . Największy jak dotąd zarejestrowany atak został osiągnięty przy użyciu NTPD jako ataku wzmacniającego.
slm
1
Możliwe, że dostęp zewnętrzny był dozwolony przez UPnP, a nie przez jawne przekierowanie portów. Jednak mało prawdopodobne.
Bob

Odpowiedzi:

14

Jeśli masz włączone NTP Reflection, twoje serwery NTP mogą być używane jako część DDoS. Aby upewnić się, że odbicie NTP jest wyłączone, dodaj to do ntp.conf:

disable monitor

Następnie uruchom ponownie wszystkie ntpusługi.

Więcej informacji na temat DDoS opartych na NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

phoops
źródło
Zobacz edycję mojego pytania. Jestem trochę zdezorientowany, ponieważ ten system nie powinien być osiągalny na tym porcie z zewnątrz.
Hauke ​​Laging