tráfego NTP estranho

10

Eu tenho várias VMs do openSUSE (principalmente 13.1). Uma das VMs está configurada para sincronizar seu tempo com o mundo exterior, as outras sincronizam com este. Isso nunca causou problemas (que eu saiba).

Agora notei que o ntpd na VM conectada externamente causa cerca de 9% da carga da CPU (permanentemente!) E faz conexões com mais de 15 hosts, causando tráfego de saída de cerca de 100K / se tráfego de entrada em um nível um pouco mais baixo (tudo de / para o meu Porta UDP 123) - que continua (agora por alguns minutos) depois que eu parei o ntpd e não existe mais esse tráfego de saída.

Eu havia configurado o ntpd no endereço do pool de.pool.ntp.org, mas isso não faz diferença.

Fiz uma atualização de distribuição (inicializando em DVD) e depois reinstalei o ntp sem nenhuma alteração.

Edit: problema "resolvido"

Depois de bloquear o UDP 123 recebido, ele ntpdage completamente normalmente. Ainda não entendo o que pode ter causado isso. Não deve ser possível conectar-se a esta porta da VM de fora. Não há encaminhamento de porta no roteador VDSL.

Mas: Alguns minutos atrás, enviei um pacote UDP para a porta 123 da Internet e (por que razão) o roteador VDSL passou para a VM. Se eu repetir isso agora, o pacote não alcançará mais a VM. Talvez esse tenha sido um estranho efeito colateral do NAT de muitas conexões UDP 123.

Vou bloquear esse tráfego, exceto os servidores pretendidos.

Hauke ​​Laging
fonte
Quais são os hosts em questão?
Faheem Mitha
2
Isso foi notícia recentemente: blog.cloudflare.com/… . O maior ataque já registrado foi alcançado usando o NTPD como ataque de amplificação.
Slm
1
É possível que o acesso externo tenha sido permitido via UPnP, em vez de um encaminhamento explícito de porta. Improvável, no entanto.
Bob

Respostas:

14

Se você tiver o NTP Reflection ativado, seus servidores NTP poderão ser usados ​​como parte do DDoS. Para garantir que a reflexão NTP esteja desabilitada, adicione isto ao seu ntp.conf:

disable monitor

Em seguida, reinicie todos os ntpserviços.

Mais informações sobre DDoS baseado em NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

phoops
fonte
Veja a edição da minha pergunta. Estou um pouco confuso porque esse sistema não deveria ter sido acessado nessa porta do lado de fora.
perfil completo de Hauke ​​Laging