vmware esxi 4.1 и атаки с помощью ntp

в 21:07, , рубрики: amplification attack, ntp, VMware, информационная безопасность, метки: , ,

Здравствуйте,
если кратко — получили письмо счастья от Hetzner, ип адрес такой-то участвует в атаке,
удивило что адрес принадлежал хосту vmware esxi 4.1

В письме явно было указано что виновник торжества ntp

и действительно esxi резво отвечал на запросы утилиты:

ntpq --peers myesxi.example.com
remote refid st t when poll reach delay offset jitter
=====================================================
nsx.customer 192.0.2.1 2 u 1024 64 1 9.057 1015598 0.001

я конечно удивился, потому как не думал что esxi работает в режиме ntp сервера

для исправления достаточно добавить в конфиг /etc/ntp.conf

restrict default ignore

и перезапустить сервис

Суть атаки схожа с dns amplification attack:
spoofed адрес жертвы выступает источником ntp запроса,
а все ответы приходят к жертве тем самым забивая канал

с esxi 5.1 данная проблема не наблюдается

Автор: syncer

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js