vmware esxi 4.1 и атаки с помощью ntp

    Здравствуйте,
    если кратко — получили письмо счастья от Hetzner, ип адрес такой-то участвует в атаке,
    удивило что адрес принадлежал хосту vmware esxi 4.1

    В письме явно было указано что виновник торжества ntp


    и действительно esxi резво отвечал на запросы утилиты:

    ntpq --peers myesxi.example.com
    remote refid st t when poll reach delay offset jitter
    =====================================================
    nsx.customer 192.0.2.1 2 u 1024 64 1 9.057 1015598 0.001

    я конечно удивился, потому как не думал что esxi работает в режиме ntp сервера

    для исправления достаточно добавить в конфиг /etc/ntp.conf

    restrict default ignore

    и перезапустить сервис

    Суть атаки схожа с dns amplification attack:
    spoofed адрес жертвы выступает источником ntp запроса,
    а все ответы приходят к жертве тем самым забивая канал

    с esxi 5.1 данная проблема не наблюдается(ввиду наличия встроенного фарвола)
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

    • НЛО прилетело и опубликовало эту надпись здесь
        +6
        Это атака на компьютеры с использованием промежуточного сервера (в данном случае ESXi). Ты просишь у ESXi сервера точное время, указывая, что твой адрес — это адрес жертвы. Сервер отвечает точным временем, у жертвы забивается канал (при достаточном количестве запросов). Получается что можно забить канал нужному компьютеру, и он перестанет работать.
          0
          Т.е. DoS чужими руками?
            0
            ну практически. DDoS направленный на сеть жертвы(канал то не резиновый) да еще и дешево
        0
        Спасибо за инфу!
        В конфиге я вижу следующее:

        restrict default kod nomodify notrap nopeer
        restrict 127.0.0.1
        server 0.vmware.pool.ntp.org
        driftfile /etc/ntp.drift
        


        Нужно ли здесь что-либо менять?
          +1
          добавьте
          в конец
          restrict default ignore
          ну или как вариант просто дописать ignore в первой строке
            0
            Спасибо, помогло!
          0
          Спасибо, тоже натолкнулся на такую проблему.
          Причем на машинах с последними апдейтами такого нет. (той же версии 4.1)
          В документации рекоммендовали ставить noquery вместо ignore, что совсем не помогало.
            0
            Я так понимаю, что это этот вот баг ntp до версии 4.2.7.
            Так что релевантно не только для esxi, но для всех машинок, где по какой-то причине активен ntpd (в том числе VPS-ки и т.д).
              0
              да, скорее всего так оно и есть
              0
              12 января наш сервер попал под раздачу этих ддосеров.
              Выключил ntp сервер вообще в ESXi — для виртуалок я его не использую все равно, в виртуалках можно любой настроить внешний.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое