이상한 NTP 트래픽


10

많은 openSUSE VM (대개 13.1)이 있습니다. VM 중 하나는 외부 세계와 시간을 동기화하도록 구성되고 다른 VM은이 세계와 동기화됩니다. 이것은 결코 문제를 일으킨 적이 없습니다.

이제 외부에 연결된 VM의 ntpd가 약 9 %의 CPU 부하 (영구적으로!)를 유발하고 15 개 이상의 호스트에 연결하여 약 100K / s의 아웃 바운드 트래픽을 발생시키고 인바운드 트래픽을 조금 낮은 수준으로 UDP 포트 123) – ntpd를 중지하고 더 이상 이러한 아웃 바운드 트래픽이없는 후에도 (현재 몇 분 동안) 계속됩니다.

풀 주소 de.pool.ntp.org에 ntpd를 구성했지만 차이가 없습니다.

배포판 업그레이드 (DVD에서 부팅)를 한 후에 변경없이 ntp를 다시 설치했습니다.

편집 : 문제 "해결됨"

들어오는 UDP 123을 차단하면 완전히 ntpd정상적으로 작동합니다. 나는 아직도이 원인을 이해할 수 없습니다. 외부에서이 VM 포트에 연결할 수 없어야합니다. VDSL 라우터에는 포트 포워딩이 없습니다.

그러나 몇 분 전에 인터넷에서 포트 123으로 UDP 패킷을 보냈고 VDSL 라우터가 VM으로 전달했습니다. 지금 반복하면 패킷이 더 이상 VM에 도달하지 않습니다. 아마도 많은 UDP 123 연결의 이상한 NAT 부작용 일 수 있습니다.

의도 한 서버를 제외하고이 트래픽을 차단하려고합니다.


문제의 호스트는 무엇입니까?
Faheem Mitha

2
최근 뉴스 인 blog.cloudflare.com/…에있었습니다 . NTPD를 증폭 공격으로 사용하여 기록 된 가장 큰 공격이 이루어졌습니다.
slm

1
명시 적 포트 포워드가 아닌 UPnP를 통해 외부 액세스가 허용되었을 수 있습니다. 그러나 그렇지 않다.
Bob

답변:


14

NTP Reflection을 활성화 한 경우 NTP 서버가 DDoS의 일부로 사용될 수 있습니다. NTP 리플렉션이 비활성화되도록하려면 이것을 다음에 추가하십시오 ntp.conf.

disable monitor

그런 다음 모든 ntp서비스를 다시 시작하십시오 .

NTP 기반 DDoS에 대한 추가 정보 : http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks


내 질문에 대한 수정 사항을 참조하십시오. 이 시스템은이 포트에서 외부에서 접근 할 수 없어야하기 때문에 약간 혼란스러워합니다.
Hauke ​​Laging
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.