seltsamer NTP-Verkehr


10

Ich habe eine Reihe von openSUSE-VMs (meistens 13.1). Eine der VMs ist so konfiguriert, dass sie ihre Zeit mit der Außenwelt synchronisiert, die anderen mit dieser. Dies hat nie Probleme verursacht (die mir bekannt sind).

Jetzt habe ich festgestellt, dass ntpd auf der extern verbundenen VM (permanent!) Eine CPU-Auslastung von ca. 9% verursacht und Verbindungen zu mehr als 15 Hosts herstellt, die ausgehenden Datenverkehr von ca. 100 KB / s und eingehenden Datenverkehr auf einer etwas niedrigeren Ebene verursachen (alle von / zu meiner UDP-Port 123) - der sogar (jetzt für einige Minuten) fortgesetzt wird, nachdem ich ntpd gestoppt habe und es keinen solchen ausgehenden Verkehr mehr gibt.

Ich hatte ntpd für die Pooladresse de.pool.ntp.org konfiguriert, aber das macht keinen Unterschied.

Ich habe ein Distribution-Upgrade (Booten von DVD) durchgeführt und danach sogar ntp ohne Änderung neu installiert.

Edit: Problem "gelöst"

Nachdem ich eingehendes UDP 123 blockiert habe, verhält es sich ntpdnormal. Ich verstehe immer noch nicht, was das verursacht haben könnte. Es sollte nicht möglich sein, von außen eine Verbindung zu diesem VM-Port herzustellen. Im VDSL-Router gibt es keine Portweiterleitung.

Aber: Vor ein paar Minuten habe ich ein UDP-Paket aus dem Internet an Port 123 gesendet und (warum auch immer) vom VDSL-Router an die VM weitergeleitet. Wenn ich das jetzt wiederhole, erreicht das Paket die VM nicht mehr. Vielleicht war das ein seltsamer NAT-Nebeneffekt der vielen UDP 123-Verbindungen.

Ich werde diesen Verkehr mit Ausnahme der vorgesehenen Server blockieren.


Was sind die fraglichen Gastgeber?
Faheem Mitha

2
Dies war kürzlich in den Nachrichten: blog.cloudflare.com/… . Der größte jemals aufgezeichnete Angriff wurde mit NTPD als Amplifikationsangriff erzielt.
slm

1
Es ist möglich, dass der externe Zugriff über UPnP und nicht über eine explizite Portweiterleitung zulässig war. Unwahrscheinlich.
Bob

Antworten:


14

Wenn Sie NTP Reflection aktiviert haben, werden Ihre NTP-Server möglicherweise als Teil von DDoS verwendet. Fügen Sie Folgendes hinzu, um sicherzustellen, dass die NTP-Reflektion deaktiviert ist ntp.conf:

disable monitor

Starten Sie dann alle ntpDienste neu.

Weitere Informationen zu NTP-basiertem DDoS: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks


Siehe die Bearbeitung meiner Frage. Ich bin etwas verwirrt, weil dieses System an diesem Port von außen nicht erreichbar sein sollte.
Hauke ​​Laging
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.