2014年2月12日水曜日

さくらから警告が来たNTP DDoSの対策

最近NTPのmonlistを使ったDDoSが流行っており私のさくらVPSもそれに該当し警告を受けたところです。
本当に申し訳ない。



特にVPSなどでサーバーを構築するとデフォルトで制限なしの状態で起動してしまうので要注意。

さくらVPSは親切にNTPサーバーを準備してくれているので素直にこれを使ったほうが賢明だろう。

/etc/ntp.conf

restrict default ignore
restrict -6 default ignore
restrict ntp1.sakura.ad.jp kod nomodify notrap nopeer noquery
restrict 127.0.0.1
server ntp1.sakura.ad.jp

これをコピペしてntpdを再起動すればもう何も怯えることはない。

さくらVPSじゃない人はとりあえず以下に変更しておけば問題ない。

restrict default ignore
restrict -6 default ignore
restrict 133.100.9.2 mask 255.255.255.255 kod nomodify notrap nopeer noquery
restrict 133.100.11.8 mask 255.255.255.255 kod nomodify notrap nopeer noquery
restrict 127.0.0.1
server 133.100.9.2
server 133.100.11.8
disable monitor

restrict -6 default ignoreでipv6も遮断し忘れないように注意。

restrict 127.0.0.1はntpq -pコマンドで確認できなくなるので必要な人は追加しておきましょう。

iptablesもチェック

多くのiptablesユーザーは内部から発生した通信と通信中のコネクションのみ許可していると思う。
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED

一件完璧に見えるこのルール、実はこの設定、今回の攻撃では有効ではない。

UDPはコネクションレス型のプロトコルで事前にコネクションを確立せず高速な通信を行うのが特徴だ。

つまりESTABLISHEDに遷移することはない。