Tengo varias máquinas virtuales openSUSE (principalmente 13.1). Una de las máquinas virtuales está configurada para sincronizar su tiempo con el mundo exterior, las otras se sincronizan con esta. Esto nunca ha causado problemas (que yo sepa).
Ahora noté que ntpd en la VM conectada externamente causa aproximadamente un 9% de carga de CPU (¡permanentemente!) Y hace conexiones a más de 15 hosts que causan tráfico saliente de aproximadamente 100K / sy tráfico entrante en un nivel un poco más bajo (todo desde / hacia mi UDP puerto 123), que incluso continúa (ahora durante varios minutos) después de que detuve ntpd y ya no hay tal tráfico saliente.
Había configurado ntpd en la dirección de grupo de.pool.ntp.org pero eso no hace la diferencia.
Hice una actualización de distribución (arranque desde DVD) y luego incluso reinstalé ntp sin ningún cambio.
Editar: problema "resuelto"
Después de haber bloqueado UDP entrante, 123 ntpd
actúa completamente por completo . Todavía no entiendo qué pudo haber causado esto. No debería ser posible conectarse a este puerto VM desde el exterior. No hay reenvío de puertos en el enrutador VDSL.
Pero: hace unos minutos envié un paquete UDP al puerto 123 desde Internet y (en cualquier caso) el enrutador VDSL lo pasó a la VM. Si repito eso ahora, el paquete ya no llega a la máquina virtual. Tal vez ese fue un extraño efecto secundario de NAT de las muchas conexiones UDP 123.
Voy a bloquear este tráfico a excepción de los servidores previstos.
Respuestas:
Si tiene NTP Reflection habilitado, sus servidores NTP podrían usarse como parte de DDoS. Para asegurarse de que la reflexión NTP esté desactivada, agregue esto a su
ntp.conf
:Luego reinicie todos los
ntp
servicios.Más información sobre DDoS basados en NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
fuente