奇妙なNTPトラフィック

奇妙なNTPトラフィック

私は多くのopenSUSE VM(主に13.1)を持っています。仮想マシンの1つは外部の世界と時刻を同期するように構成され、他の仮想マシンもそれと同期します。これは(私が知っている限り)問題を引き起こしたことはありません。

これで、外部に接続されたVMのntpdが15個以上のホストに接続して約9%のCPU負荷(永久的に!)を発生させ、約100K/sのアウトバウンドトラフィックが発生し、ホストから入ってくるインバウンドトラフィックが若干減少するを確認しました。 UDPポート123) - これはntpdを停止し、アウトバウンドトラフィックがなくなった後も(現在数分間)続きます。

プールアドレスde.pool.ntp.orgにntpdを設定しましたが、違いはありません。

ディストリビューションのアップグレード(DVDから起動)を実行し、変更なしでntpを再インストールしました。

編集:問題が「解決済み」

着信UDP 123をブロックした後は、ntpd完全に正常に動作しました。私はまだこの問題の原因を理解していません。このVMポートは外部からアクセスできないはずです。 VDSL ルータにはポート転送はありません。

しかし、数分前にインターネットからポート123にUDPパケットを送信し(何らかの理由で)、VDSLルーターはそれを仮想マシンに転送しました。今繰り返すと、パケットは仮想マシンに到達しなくなります。おそらく、これは多くのUDP 123接続の奇妙なNAT副作用かもしれません。

意図したサーバーを除いて、このトラフィックをブロックします。

答え1

NTP リフレクションをイネーブルにすると、NTP サーバーを DDoS 攻撃の一部として使用できます。 NTPリフレクションが無効になっていることを確認するには、以下を追加しますntp.conf

disable monitor

その後、すべてのntpサービスを再起動します。

NTPベースのDDoSに関する追加情報:http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

関連情報