Zabezpieczenie usługi NTP przed atakiem DDOS

Informacja przeznaczona dla użytkowników i administratorów systemów Linux.

W sobotę 18.07.2015 w godzinach 13:00 - 15:00 kilka serwerów NTP PŁ na adresach publicznych zostało wykorzystane do ataku NTP DDOS. Serwery te korzystają z NTP client, ale nie powinny być skonfigurowane jako NTP serwer.

Wynikiem ataku było przeciążenie sieci , które bezpośrednio wpłynęło na jakość świadczonych usług.

 

Ogólne zasady postępowania, dostępu i zabezpieczenia klientów NTP przed umożliwieniem wykorzystania demonów ntpd do przeprowadzenia ataku DDOS można znaleźć na stronie:

https://www.acunetix.com/blog/articles/ntp-reflection-ddos-attacks/

Dodatkowe wyjaśnienia znajdują się na stronie: http://support.ntp.org/bin/view/Support/AccessRestrictions w sekcji " 6.5.1.1.3. Allow Queries?".

Poniżej przykładowy fragment pliku konfiguracyjnego ntp.conf

IPV4: restrict default limited kod nomodify notrap nopeer noquery
IPv6: restrict -6 default limited kod nomodify notrap nopeer noquery