[FreeBSD-users-jp 95128] Re: [FYI] NTPのDDoSの件

[Genta IHA]

伊波ともうします。
以下の2つの理由から、基本的にpfまたはipfilterベースで
ステートフル的なフィルタを書くほうがお勧めです。

(1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと
(2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること

--
伊波 源太 / Genta IHA

2014年1月28日 11:03 Ryuji MATSUMOTO <matumoto at pluto.ai.kyutech.ac.jp>:
> 松元@どっかの大学です。
>
> 補足ですが、
>> たけふ＠大阪豊中です。
>>
>> ipfw(4) でフィルターする解も有りますけど、
>> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。
>
>>> restrict default ignore
>>> restrict -6 default ignore
>
> この設定をする場合、
>
>> 必要に合わせてアクセス許可を列挙しています。
>>
>>> restrict 127.0.0.1
>>> restrict -6 ::1
>
> restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ
> うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした)
>
> なので、
> -- こう書いたら --
> server AA.BB.CC.DD
>
> restrict default ignore
> restrict -6 default ignore
> ------------------
>
> -- ntp.confに以下の行が必要 --
> restrict AA.BB.CC.DD ｋｏｆ　ｎｏｍｏｄｉｆｙ　ｎｏｐｅｅｒ　ｎｏｑｕｅｒｙ　ｎｏｔｒａｐ
> ----
>
> 注意: restrictのオプションは例です。各自マニュアルでご確認の上、
> 取捨選択下さい。
>
> --
> 松元隆二
> _______________________________________________
> freebsd-users-jp at freebsd.org mailing list
> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
> To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe at freebsd.org"