最近,由于使用ntpdc的NTP服务器DRDoS放大攻击 ,我们的某个ESXi服务器出现了一些问题。
如何configurationESXi上的NTP服务器以避免受到此次DDoS攻击?
或者,如果我closures服务,这会对我的虚拟机有什么影响吗?
答案可以在这篇博客文章中find。 所有你需要做的是禁用“monlist”命令,顺便在ntpd 4.2.7(我们的ESXi 5.1.0u2服务器运行4.2.6p2)中被删除。
restrict行添加noquery来编辑/etc/ntp.conf 。 /etc/init.d/ntpd restart重新启动NTP服务。 validationmonlist命令已被禁用:
ntpdc -c monlist 1.2.3.4
这个问题是不可回答的 – 你可能不喜欢可以给出的答案。
2场景,你没有提到任何细节过滤:
1 – 你被用来放大。 在这种情况下,我想知道为什么ESXi主机可以从互联网上访问。 它不应该。 它不应该有一个公共的IP。 我不运行ESX,但为客户和人员维护了许多Hyper-V服务器,在这个实例上你不会find它们中的任何一个。 他们住在一个内部networking中,所有的访问都通过VPN到内部网关完成。 是的,服务器可能有公共IP地址 – 虚拟服务器 – 但从来没有主机。 无需。 他们从互联网上search的ALlstream量通过防火墙(通过NAT),因此它们受到保护。 我认为这是安全的专业基准。
2 – 你被攻击了。 在这种情况下 – 没办法。 这就好比说:“我在我家里要干什么,让人们不要给我多less包我从来没有下过的包裹”。 当stream量到达ESX主机时,它已经超载您的带宽。 再次,为什么互联网上的主机呢?
如何configurationESXi上的NTP服务器以避免受到此次DDoS攻击?
目前,你不能,真的。 ESXi中的ntpd并不是真正可configuration的(至less在VMware支持的方式下),所以您的选项是真正开启或closures的。
据推测,VMware将在不久之后发布补丁或更新来解决这个问题(我没有看到一个说它现在解决了这个问题),你可以申请,当它出来,但这不会帮助正确现在。
您可以手动将ESXi主机更新到不易受攻击的较新的ntpd客户端 (毕竟,ESXi“仅仅”是一个自定义的Linux发行版),但是我不会那么做,并且冒着被VMware不支持的configuration的风险。
当然,正如你在你的问题中提出的build议,你也可以通过closures服务(暂时)来防止攻击。
或者,如果我closures服务,这会对我的虚拟机有什么影响吗?
这完全取决于你的客户机操作系统是如何为ntpconfiguration的。 如果他们被configuration为与主机系统同步时间,他们将开始失去时间同步(他们花费在闲置CPU使用的时间越多,时间漂移就越糟糕)。
如果他们被configuration为从一个不同的ntp源获得时间,他们不会有问题…除非他们也运行易受攻击的ntp客户端,在这种情况下,他们可能会得到DRDoS攻击而不是主机。
如果您当前正在configuration虚拟客户机操作系统以从主机服务器获取时间,现在可能是考虑采用不同方法的好时机,这完全取决于您的使用情况。 运行Windows域使这变得简单 – PDC模拟器从可靠的(外部)ntp源获取ntp时间,所有其他域控制器从PDC模拟器获得时间,所有客户端从本地域控制器获取时间。 当然,你的用例可能是不同的或者更复杂的。
首先,您不应该让ESXi从外部源检索时间以避免这种情况。
我build议你在内部创build一个NTP服务器,这个NTP服务器本身将被ntp.org服务器合并,并被正确保护以减轻NTPD DDOS攻击。
我真的为所有这些漫长而无关紧要的答案感到困惑。
答案很简单:启用ESXi bultin防火墙!
默认情况下,它被启用并阻止传入的NTPstream量。 那么,为什么你在第一个地方禁用它?