Как я могу защитить от DRDoS, использующего сервер NTP на хосте ESXI?

На вопрос невозможно ответить - и вам могут не понравиться ответы, которые могут быть даны.

2 сценария, вы не можете указать какие-либо детали для фильтрации:

1 - вы были использованы для усиления. В этом случае мне интересно, почему хост ESXi был доступен из Интернета. Так не должно быть. У него не должно быть публичного IP. Я не использую ESX, но поддерживаю несколько серверов Hyper-V для клиентов, и, блин, вы не найдете НИКАКОГО из них на стажировке. Они живут во внутренней сети, весь доступ к этому внутреннему шлюзу осуществляется через VPN. Да, серверы могут иметь общедоступные IP-адреса - виртуальные серверы - но не хосты. Не нужно. ВСЕЙ трафик, который они получают из Интернета, проходит через брандмауэр (через NAT), поэтому они защищены. Я считаю это профессиональным эталоном безопасности.

2 - на вас напали. В этом случае - никак. Это все равно, что сказать: «Что я могу разместить у себя дома, чтобы люди не присылали мне тонны пакетов, которые я никогда не заказывал». к тому времени, когда трафик достигает хоста ESX, он уже перегружает вашу полосу пропускания. Но опять же, почему хост вообще подключен к Интернету?

Как настроить сервер NTP на ESXi, чтобы не подвергаться этой DDoS-атаке?

На данный момент вы действительно не можете. Ntpd в ESXi на самом деле не настраивается (по крайней мере, в режиме, поддерживаемом VMware), поэтому ваши параметры действительно включены или отключены.

Предположительно, VMware выпустит патч или обновление в ближайшее время, чтобы решить эту проблему, (я не вижу ни одного, в котором говорится, что он решает проблему прямо сейчас), и вы можете применить его, когда он появится, но это не поможет прямо сейчас.

Вы можете вручную обновить свой хост ESXi на более новый клиент ntpd, который не уязвим (в конце концов, ESXi - это «просто» настроенный дистрибутив Linux), но я бы не стал этого делать и рискую оказаться в неподдерживаемой конфигурации с VMware.

Конечно, как вы предлагаете в своем вопросе, вы также можете предотвратить атаку, отключив службу (на время).

Или, если я выключу службу, повлияет ли это на мои виртуальные машины?

Это полностью зависит от того, как работает ваш гость. системы настроены на ntp. Если они настроены на синхронизацию времени с хост-системой, они начнут терять синхронизацию времени (чем больше времени они проводят при использовании ЦП в режиме ожидания, тем хуже дрейф времени вы увидите).

Если они настроены на получение времени из другого источника ntp, у них не будет проблем ... если, конечно, они также не работают с уязвимыми клиентами ntp, в этом случае они, вероятно, получат атаку DRDoS вместо хоста.

Если вы в настоящее время настраиваете свои виртуальные гостевые операционные системы, чтобы получать время от их хост-серверов, сейчас, возможно, самое подходящее время рассмотреть другой подход что будет полностью зависеть от вашего варианта использования. Запуск доменов Windows упрощает эту задачу - эмулятор PDC получает время ntp от надежного (внешнего) источника ntp, все остальные контроллеры домена получают время от эмулятора PDC, а все клиенты получают время от своего локального контроллера домена. Конечно, ваш вариант использования может быть другим или более сложным.

Во-первых, вы не должны, чтобы ваш ESXi извлекал время из внешнего источника, чтобы избежать этого.

Я рекомендую вам создать внутренний NTP-сервер, который сам будет объединен ntp.org и правильно защищены для предотвращения DDOS-атак NTPD.

Меня действительно озадачили все длинные, но не относящиеся к делу ответы здесь ...

Ответ прост: включите брандмауэр ESXi bultin!

По умолчанию он включен и блокируется входящий трафик NTP. Так почему, черт возьми, вы вообще его отключили ??