Kei te whiwhi i nga tini tono NTP
I taku kaituku ka kite au i te maha o nga tono NTP. Katoa nga mahinga NTP kua aukatihia e nga iptables. He mea ano pea ka taea e au ki te aukati i tenei hokohoko?
28M 1019M DROP udp - * * 0.0.0.0/0 0.0.0.0/0 udp dpt: 123
Ko nga tono e ahu mai ana i nga momo ip katoa. Koinei tetahi o nga whakaeke DDOS?
Если у вас есть динамический IP-адрес (или вы недавно приобрели статический ), возможно, ваш адрес ранее использовался глобальным общедоступным пулом NTP. Вы можете проверитьhttps://www.pool.ntp.org/scores/IPADDRESS(заменить IP-АДРЕС на ваш общедоступный IP-адрес -, он поддерживает как IPv4, так и IPv6), чтобы узнать, использовался ли ваш адрес ранее в пуле.
Имейте в виду, что обычные пакеты NTP очень малы, поэтому в зависимости от периода времени, в течение которого происходили эти 28-мегапиксельные пакеты, это может привести к относительно небольшому уровню фонового трафика. Когда вы в последний раз сбрасывали счетчики iptables? Возможно, не стоит беспокоиться.
В качестве альтернативы, как указал Теро Килканен, это может быть DDoS. Попытки отражения атак с использованием уязвимых NTP-серверов все еще относительно распространены, так что это не является чем-то неожиданным, особенно если вы используете динамический или недавно-приобретенный статический адрес или используете игровой сервер.
Если вы хотите узнать, является ли это атакой с отражением, возьмите захват пакетов всего трафика NTP за фиксированный период, затем просмотрите пакеты в Wireshark и узнайте, сколько из них имеют полезную нагрузку UDP длиной более 72 байт. Обычный пакет NTP состоит из 56 байт полезной нагрузки UDP, а с кодом проверки подлинности сообщения это число увеличивается до 72. (Используйте фильтр дисплея Wireshark udp.length > 72, чтобы увидеть это. )Если имеется значительный процент пакетов большего размера, вероятно, это DDoS-атак, и вы можете задействовать своего интернет-провайдера.