J'ai un certain nombre de machines virtuelles openSUSE (principalement 13.1). L'une des VM est configurée pour synchroniser son heure avec le monde extérieur, les autres se synchronisent avec celui-ci. Cela n'a jamais causé de problèmes (à ma connaissance).
Maintenant, j'ai remarqué que ntpd sur la machine virtuelle connectée à l'extérieur provoque environ 9% de charge CPU (en permanence!) Et établit des connexions avec plus de 15 hôtes provoquant un trafic sortant d'environ 100K / s et un trafic entrant à un niveau légèrement inférieur (tous de / vers mon Port UDP 123) - qui continue même (maintenant pendant plusieurs minutes) après que j'ai arrêté ntpd et qu'il n'y ait plus de trafic sortant.
J'avais configuré ntpd sur l'adresse de pool de.pool.ntp.org mais cela ne fait aucune différence.
J'ai fait une mise à niveau de la distribution (démarrage à partir d'un DVD) et j'ai même réinstallé ntp sans aucun changement.
Edit: problème "résolu"
Une fois que j'ai bloqué UDP 123 entrant, il ntpd
agit complètement normalement. Je ne comprends toujours pas ce qui a pu causer cela. Il ne devrait pas être possible de se connecter à ce port VM de l'extérieur. Il n'y a pas de redirection de port dans le routeur VDSL.
Mais: Il y a quelques minutes, j'ai envoyé un paquet UDP au port 123 depuis Internet et (quoi que) le routeur VDSL l'a transmis à la machine virtuelle. Si je le répète maintenant, le paquet n'atteint plus la machine virtuelle. C'était peut-être un étrange effet secondaire NAT des nombreuses connexions UDP 123.
Je vais bloquer ce trafic sauf pour les serveurs prévus.
Réponses:
Si la réflexion NTP est activée, vos serveurs NTP peuvent être utilisés dans le cadre de DDoS. Pour vous assurer que la réflexion NTP est désactivée, ajoutez ceci à votre
ntp.conf
:Redémarrez ensuite tous les
ntp
services.Plus d'informations sur les DDoS basés sur NTP: http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
la source