¿Cómo puedo defenderme contra un DRDoS que explote el server NTP en un host ESXi?

Recientemente, tuvimos algunos problemas con uno de nuestros serveres ESXi, causado por el ataque NTP Server DRDoS Amplification usando ntpdc .

¿Cómo configuro el server NTP en ESXi para que no se exponga a este ataque DDoS?

O, si apago el service, ¿tendrá algún efecto en mis máquinas virtuales?

5 Solutions collect form web for “¿Cómo puedo defenderme contra un DRDoS que explote el server NTP en un host ESXi?”

La respuesta se puede encontrar en esta input del blog . Todo lo que necesitas hacer es deshabilitar el command "monlist", que por cierto fue eliminado en ntpd 4.2.7 (nuestros serveres ESXi 5.1.0u2 están ejecutando 4.2.6p2).

  1. Acceda a la console de su server, ya sea habilitando la console local o SSH.
  2. Edite /etc/ntp.conf agregando noquery a la primera línea de restrict .
  3. Reinicie el service NTP con /etc/init.d/ntpd restart .
  4. Compruebe que el command monlist se ha deshabilitado:

    ntpdc -c monlist 1.2.3.4

La pregunta no es responsable – y es posible que no le gusten las respuestas que se pueden dar.

2 escenarios, no menciona ningún detalle para filtrar:

1 – usted estaba acostumbrado a amplificar. En este caso me pregunto por qué el host ESXi era accesible desde Internet. No debería ser. No debería tener una IP pública. No ejecuto ESX, pero mantener una serie de serveres Hyper-V para los clientes y el hombre, usted no encontrará ninguno de ellos en el internt. Ellos viven en una networking interna, todo el acceso se realiza a través de VPN a esa puerta de enlace interna. Sí, los serveres pueden tener direcciones IP públicas – serveres virtuales – pero nunca los hosts. No hay necesidad de. ALl tráfico que ned de Internet pasa a través del cortafuegos (a través de NAT), por lo que están protegidos. Considero esta línea de base profesional en security.

2 – usted fue targetted. En este caso – de ninguna manera. Eso es como decir "qué hago chane en mi casa para que la gente no me envíe toneladas de packages que nunca pedí". en el momento en que el tráfico llega al host ESX ya sobrecarga su ancho de banda. BUt otra vez, ¿por qué el anfitrión en absoluto en el Internet?

¿Cómo configuro el server NTP en ESXi para que no se exponga a este ataque DDoS?

Por el momento, no puedes, en realidad. El ntpd en ESXi no es realmente configurable (al less en una forma compatible con VMware), por lo que sus opciones están realmente activadas o desactivadas.

Presumiblemente, VMware lanzará un parche o actualización pronto para resolver el problema, (no veo uno que dice que se ocupa del problema ahora), y se podría aplicar eso cuando salga, pero eso no ayudará a la derecha ahora.

Podría actualizar manualmente su host ESXi a un cliente ntpd más nuevo que no sea vulnerable (ESXi es "simplemente" una distribución de Linux personalizada, después de todo), pero no haría eso y correría el riesgo de estar en una configuration no compatible con VMware.

Por supuesto, como usted sugiere en su pregunta, también puede prevenir el ataque apagando el service (por el momento).

O, si apago el service, ¿tendrá algún efecto en mis máquinas virtuales?

Eso depende enteramente de cómo sus sistemas operativos invitados están configurados para ntp. Si están configurados para sincronizar el time con el sistema host, empezarán a perder synchronization de time (cuanto más time pasen en el uso de CPU inactivo, la peor caída de time que verá).

Si están configurados para get time desde una fuente ntp diferente, no tendrán problemas … a less que, por supuesto, también estén ejecutando clientes vulnerables de ntp, en cuyo caso, probablemente estarán recibiendo el ataque DRDoS en lugar del host.

Si actualmente está configurando sus sistemas operativos invitados virtuales para get time de sus serveres host, ahora puede ser un buen momento para considerar un enfoque diferente, que dependería totalmente de su caso de uso. Ejecutar dominios Windows lo hace fácil: el emulador PDC obtiene time ntp desde una fuente ntp fiable (externa), todos los demás controlleres de dominio obtienen su time del emulador PDC y todos los clientes obtienen su time de su controller de dominio local. Por supuesto, su caso de uso puede ser diferente o más complicado.

En primer lugar, no debe tener su ESXi recuperar su time de una fuente externa para evitar esto.

Te recomiendo que crees internamente un server NTP que será agrupado por los serveres ntp.org y protegido correctamente para mitigar el ataque DDTP de NTPD.

Estoy muy desconcertado por todas las respuestas largas pero irrelevantes aquí …

La respuesta es sencilla: ¡habilita el cortafuegos de bultin de ESXi!

De forma pnetworkingeterminada, está habilitado y bloquea el tráfico NTP entrante. Entonces, ¿por qué diablos has deshabilitado en primer lugar?

  • VMWARE host para host Nic connection sin switch
  • pfSense DMZ VMware y Ubuntu 16.04.1 LTS
  • ¿Por qué el puerto USB interno no arranca ESXi 6 en mi Microserver Gen8?
  • ¿Cómo movería un server Ubuntu autónomo a un server virtual (ESXi)
  • el almacén de datos ha desaparecido del almacenamiento, pero existe
  • VMWare ESXi: cómo agregar controlleres de networking a la installation?
  • Soporte anual de VMware
  • VMware vSphere y el paso de ESX a ESXi
  • VMware Vmotion 5.1 falla al 51%, entre dos serveres nuevos idénticos de VMware
  • ESXI ftpput falla Problema de syntax
  • VMware VMFS5 y dimensionamiento LUN - múltiples almacenes de datos más pequeños, o 1 gran almacén de datos?
  • ¿Por qué una VM de arranque PXE busca agresivamente ARP inverso?
  • ¿Es posible copyr una instantánea y asociarla a otra VM (que tiene la misma configuration)?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.