lalu lintas NTP yang aneh

10

Saya memiliki sejumlah VM openSUSE (kebanyakan 13.1). Salah satu VM dikonfigurasikan untuk menyinkronkan waktunya dengan dunia luar, yang lain disinkronkan dengan yang ini. Ini tidak pernah menyebabkan masalah (yang saya sadari).

Sekarang saya perhatikan bahwa ntpd pada VM yang terhubung ke luar menyebabkan sekitar 9% beban CPU (secara permanen!) Dan membuat koneksi ke 15+ host yang menyebabkan lalu lintas keluar sekitar 100K / s dan lalu lintas masuk pada tingkat yang sedikit lebih rendah (semua dari / ke saya Port UDP 123) - yang bahkan berlanjut (sekarang selama beberapa menit) setelah saya berhenti ntpd dan tidak ada lagi traffic keluar seperti itu.

Saya telah mengkonfigurasi ntpd ke alamat pool de.pool.ntp.org tetapi itu tidak membuat perbedaan.

Saya membuat upgrade distro (booting dari DVD) dan kemudian bahkan menginstal ulang ntp tanpa perubahan.

Sunting: masalah "terpecahkan"

Setelah saya memblokir UDP 123 masuk sepenuhnya ntpdbertindak normal. Saya masih tidak mengerti apa yang menyebabkan ini. Seharusnya tidak mungkin untuk terhubung ke port VM ini dari luar. Tidak ada port forwarding di router VDSL.

Tetapi: Beberapa menit yang lalu saya mengirim paket UDP ke port 123 dari Internet dan (bagaimanapun) router VDSL meneruskannya ke VM. Jika saya ulangi sekarang maka paket tidak mencapai VM lagi. Mungkin itu adalah efek samping NAT yang aneh dari banyak koneksi UDP 123.

Saya akan memblokir lalu lintas ini kecuali untuk server yang dituju.

Hauke ​​Laging
sumber
Apa host yang dimaksud?
Faheem Mitha
2
Ini ada dalam berita baru-baru ini: blog.cloudflare.com/… . Serangan terbesar yang pernah dicatat dicapai menggunakan NTPD sebagai serangan amplifikasi.
slm
1
Ada kemungkinan bahwa akses eksternal diizinkan melalui UPnP daripada port forward yang eksplisit. Tapi tidak mungkin.
Bob

Jawaban:

14

Jika Anda mengaktifkan NTP Reflection, server NTP Anda mungkin digunakan sebagai bagian dari DDoS. Untuk memastikan refleksi NTP dinonaktifkan, tambahkan ini ke ntp.conf:

disable monitor

Kemudian restart semua ntplayanan.

Info lebih lanjut tentang DDoS berbasis NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

phoops
sumber
Lihat hasil edit pertanyaan saya. Saya agak bingung karena sistem ini seharusnya tidak dapat dijangkau pada port ini dari luar.
Hauke ​​Laging