tráfico NTP extraño

10

Tengo varias máquinas virtuales openSUSE (principalmente 13.1). Una de las máquinas virtuales está configurada para sincronizar su tiempo con el mundo exterior, las otras se sincronizan con esta. Esto nunca ha causado problemas (que yo sepa).

Ahora noté que ntpd en la VM conectada externamente causa aproximadamente un 9% de carga de CPU (¡permanentemente!) Y hace conexiones a más de 15 hosts que causan tráfico saliente de aproximadamente 100K / sy tráfico entrante en un nivel un poco más bajo (todo desde / hacia mi UDP puerto 123), que incluso continúa (ahora durante varios minutos) después de que detuve ntpd y ya no hay tal tráfico saliente.

Había configurado ntpd en la dirección de grupo de.pool.ntp.org pero eso no hace la diferencia.

Hice una actualización de distribución (arranque desde DVD) y luego incluso reinstalé ntp sin ningún cambio.

Editar: problema "resuelto"

Después de haber bloqueado UDP entrante, 123 ntpdactúa completamente por completo . Todavía no entiendo qué pudo haber causado esto. No debería ser posible conectarse a este puerto VM desde el exterior. No hay reenvío de puertos en el enrutador VDSL.

Pero: hace unos minutos envié un paquete UDP al puerto 123 desde Internet y (en cualquier caso) el enrutador VDSL lo pasó a la VM. Si repito eso ahora, el paquete ya no llega a la máquina virtual. Tal vez ese fue un extraño efecto secundario de NAT de las muchas conexiones UDP 123.

Voy a bloquear este tráfico a excepción de los servidores previstos.

Hauke ​​Laging
fuente
¿Cuáles son los anfitriones en cuestión?
Faheem Mitha
2
Esto estuvo en las noticias recientemente: blog.cloudflare.com/… . El ataque más grande jamás registrado se logró usando NTPD como un ataque de amplificación.
slm
1
Es posible que se permitiera el acceso externo a través de UPnP en lugar de un puerto explícito hacia adelante. Aunque poco probable.
Bob

Respuestas:

14

Si tiene NTP Reflection habilitado, sus servidores NTP podrían usarse como parte de DDoS. Para asegurarse de que la reflexión NTP esté desactivada, agregue esto a su ntp.conf:

disable monitor

Luego reinicie todos los ntpservicios.

Más información sobre DDoS basados ​​en NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

phoops
fuente
Vea la edición de mi pregunta. Estoy un poco confundido porque este sistema no debería haber sido accesible en este puerto desde el exterior.
Hauke ​​Laging