이상한 NTP 트래픽

많은 openSUSE VM (대개 13.1)이 있습니다. VM 중 하나는 외부 세계와 시간을 동기화하도록 구성되고 다른 VM은이 세계와 동기화됩니다. 이것은 결코 문제를 일으킨 적이 없습니다.

이제 외부에 연결된 VM의 ntpd가 약 9 %의 CPU 부하 (영구적으로!)를 유발하고 15 개 이상의 호스트에 연결하여 약 100K / s의 아웃 바운드 트래픽을 발생시키고 인바운드 트래픽을 조금 낮은 수준으로 UDP 포트 123) – ntpd를 중지하고 더 이상 이러한 아웃 바운드 트래픽이없는 후에도 (현재 몇 분 동안) 계속됩니다.

풀 주소 de.pool.ntp.org에 ntpd를 구성했지만 차이가 없습니다.

배포판 업그레이드 (DVD에서 부팅)를 한 후에 변경없이 ntp를 다시 설치했습니다.

편집 : 문제 "해결됨"

들어오는 UDP 123을 차단하면 완전히 ntpd정상적으로 작동합니다. 나는 아직도이 원인을 이해할 수 없습니다. 외부에서이 VM 포트에 연결할 수 없어야합니다. VDSL 라우터에는 포트 포워딩이 없습니다.

그러나 몇 분 전에 인터넷에서 포트 123으로 UDP 패킷을 보냈고 VDSL 라우터가 VM으로 전달했습니다. 지금 반복하면 패킷이 더 이상 VM에 도달하지 않습니다. 아마도 많은 UDP 123 연결의 이상한 NAT 부작용 일 수 있습니다.

의도 한 서버를 제외하고이 트래픽을 차단하려고합니다.

NTP Reflection을 활성화 한 경우 NTP 서버가 DDoS의 일부로 사용될 수 있습니다. NTP 리플렉션이 비활성화되도록하려면 이것을 다음에 추가하십시오 ntp.conf.

disable monitor

그런 다음 모든 ntp서비스를 다시 시작하십시오 .

NTP 기반 DDoS에 대한 추가 정보 : http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks