Недавно у нас возникли проблемы с одним из наших серверов ESXi, вызванные Атака с усилением DRDoS на NTP-сервере с использованием ntpdc.
Как мне настроить сервер NTP на ESXi, чтобы не подвергаться этой DDoS-атаке?
Или, если я отключу службу, это повлияет на мои виртуальные машины?
На этот вопрос невозможно ответить - и вам могут не понравиться ответы, которые можно дать.
2 сценария, вы не упомянули ни одной детали, которую нужно отфильтровать:
1 - тебя использовали для усиления. В этом случае мне интересно, почему хост ESXi был доступен из Интернета. Так не должно быть. У него не должно быть публичного IP. Я не использую ESX, но поддерживаю несколько серверов Hyper-V для клиентов, и, блин, вы не найдете НИКАКИХ из них на стажировке. Они живут во внутренней сети, весь доступ к этому внутреннему шлюзу осуществляется через VPN. Да, серверы могут иметь общедоступные IP-адреса - виртуальные серверы - но не хосты. Не нужно. ВСЕ трафик, который они получают из Интернета, проходит через брандмауэр (через NAT), поэтому они защищены. Я считаю это профессиональным эталоном безопасности.
2 - вы попали в цель. В этом случае - никак. Это все равно, что сказать: «Что я могу разместить у себя дома, чтобы люди не присылали мне тонны пакетов, которые я никогда не заказывал». к тому времени, когда трафик достигает хоста ESX, он уже перегружает вашу полосу пропускания. Но опять же, почему хост вообще в Интернете?
Ответ можно найти в это сообщение в блоге. Все, что вам нужно сделать, это отключить команду «monlist», которая, кстати, была удалена в ntpd 4.2.7 (наши серверы ESXi 5.1.0u2 работают под управлением 4.2.6p2).
/etc/ntp.conf
добавляя noquery
к первому restrict
линия./etc/init.d/ntpd restart
.Убедитесь, что monlist
команда отключена:
ntpdc -c monlist 1.2.3.4
Как мне настроить NTP-сервер на ESXi, чтобы не подвергаться этой DDoS-атаке?
На данный момент вы действительно не можете. Ntpd в ESXi на самом деле не настраивается (по крайней мере, в режиме, поддерживаемом VMware), поэтому ваши параметры действительно включены или отключены.
Предположительно, в ближайшее время VMware выпустит патч или обновление, чтобы решить эту проблему (я не вижу ни одного, в котором говорится, что он решает проблему прямо сейчас), и вы могли бы применить это, когда оно выйдет, но это не поможет правильно сейчас.
Вы мог вручную обновите свой хост ESXi до новый клиент ntpd, который не уязвим (В конце концов, ESXi - это «просто» настроенный дистрибутив Linux), но я бы не стал этого делать и рискнул оказаться в неподдерживаемой конфигурации с VMware.
Конечно, как вы предлагаете в своем вопросе, вы также можете предотвратить атаку, отключив службу (на время).
Или, если я отключу службу, это повлияет на мои виртуальные машины?
Это полностью зависит от того, как ваши гостевые операционные системы настроены для ntp. Если они настроены на синхронизацию времени с хост-системой, они начнут терять синхронизацию времени (чем больше времени они проводят при использовании ЦП в режиме ожидания, тем хуже дрейф времени вы увидите).
Если они настроены на получение времени из другого источника ntp, у них не будет проблем ... если, конечно, они также не запускают уязвимых клиентов ntp, и в этом случае они, вероятно, получат атаку DRDoS вместо хозяина.
Если вы в настоящее время настраиваете свои виртуальные гостевые операционные системы, чтобы получать время от их хост-серверов, сейчас самое подходящее время для рассмотрения другого подхода, который будет полностью зависеть от вашего варианта использования. Запуск доменов Windows упрощает эту задачу - эмулятор PDC получает время ntp от надежного (внешнего) источника ntp, все остальные контроллеры домена получают время от эмулятора PDC, а все клиенты получают время от своего локального контроллера домена. Конечно, ваш вариант использования может быть другим или более сложным.
Во-первых, вы не должны позволять ESXi извлекать время из внешнего источника, чтобы избежать этого.
Я рекомендую вам создать внутренний NTP-сервер, который сам будет объединен с серверами ntp.org и правильно защищен для предотвращения DDOS-атаки NTPD.
Меня действительно озадачивают все эти длинные, но не относящиеся к делу ответы ...
Ответ прост: включите брандмауэр ESXi bultin!
По умолчанию он включен и блокирует входящий трафик NTP. Так почему, черт возьми, ты вообще отключил его ??