étrange trafic NTP

10

J'ai un certain nombre de machines virtuelles openSUSE (principalement 13.1). L'une des VM est configurée pour synchroniser son heure avec le monde extérieur, les autres se synchronisent avec celui-ci. Cela n'a jamais causé de problèmes (à ma connaissance).

Maintenant, j'ai remarqué que ntpd sur la machine virtuelle connectée à l'extérieur provoque environ 9% de charge CPU (en permanence!) Et établit des connexions avec plus de 15 hôtes provoquant un trafic sortant d'environ 100K / s et un trafic entrant à un niveau légèrement inférieur (tous de / vers mon Port UDP 123) - qui continue même (maintenant pendant plusieurs minutes) après que j'ai arrêté ntpd et qu'il n'y ait plus de trafic sortant.

J'avais configuré ntpd sur l'adresse de pool de.pool.ntp.org mais cela ne fait aucune différence.

J'ai fait une mise à niveau de la distribution (démarrage à partir d'un DVD) et j'ai même réinstallé ntp sans aucun changement.

Edit: problème "résolu"

Une fois que j'ai bloqué UDP 123 entrant, il ntpdagit complètement normalement. Je ne comprends toujours pas ce qui a pu causer cela. Il ne devrait pas être possible de se connecter à ce port VM de l'extérieur. Il n'y a pas de redirection de port dans le routeur VDSL.

Mais: Il y a quelques minutes, j'ai envoyé un paquet UDP au port 123 depuis Internet et (quoi que) le routeur VDSL l'a transmis à la machine virtuelle. Si je le répète maintenant, le paquet n'atteint plus la machine virtuelle. C'était peut-être un étrange effet secondaire NAT des nombreuses connexions UDP 123.

Je vais bloquer ce trafic sauf pour les serveurs prévus.

Hauke ​​Laging
la source
Quels sont les hôtes en question?
Faheem Mitha
2
C'était dans l'actualité récemment: blog.cloudflare.com/… . La plus grande attaque jamais enregistrée a été réalisée en utilisant le NTPD comme attaque d'amplification.
slm
1
Il est possible que l'accès externe ait été autorisé via UPnP plutôt qu'un transfert de port explicite. Peu probable, cependant.
Bob

Réponses:

14

Si la réflexion NTP est activée, vos serveurs NTP peuvent être utilisés dans le cadre de DDoS. Pour vous assurer que la réflexion NTP est désactivée, ajoutez ceci à votre ntp.conf:

disable monitor

Redémarrez ensuite tous les ntpservices.

Plus d'informations sur les DDoS basés sur NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

cerceaux
la source
Voir la modification de ma question. Je suis un peu confus car ce système n'aurait pas dû être accessible sur ce port depuis l'extérieur.
Hauke ​​Laging