[FreeBSD-users-jp 95129] Re: [FYI] NTPのDDoSの件
Genta IHA
genta at teeda.jp
Tue Jan 28 02:24:41 UTC 2014
あ、うっかりipfwと書くつもりがipfilterとか書いてしまいました^_^;
すみません。
--
伊波 源太 / Genta IHA
2014年1月28日 11:23 Genta IHA <genta at teeda.jp>:
> 伊波ともうします。
> 以下の2つの理由から、基本的にpfまたはipfilterベースで
> ステートフル的なフィルタを書くほうがお勧めです。
>
> (1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと
> (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること
>
> --
> 伊波 源太 / Genta IHA
>
> 2014年1月28日 11:03 Ryuji MATSUMOTO <matumoto at pluto.ai.kyutech.ac.jp>:
>> 松元@どっかの大学です。
>>
>> 補足ですが、
>>> たけふ@大阪豊中です。
>>>
>>> ipfw(4) でフィルターする解も有りますけど、
>>> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。
>>
>>>> restrict default ignore
>>>> restrict -6 default ignore
>>
>> この設定をする場合、
>>
>>> 必要に合わせてアクセス許可を列挙しています。
>>>
>>>> restrict 127.0.0.1
>>>> restrict -6 ::1
>>
>> restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ
>> うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした)
>>
>> なので、
>> -- こう書いたら --
>> server AA.BB.CC.DD
>>
>> restrict default ignore
>> restrict -6 default ignore
>> ------------------
>>
>> -- ntp.confに以下の行が必要 --
>> restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap
>> ----
>>
>> 注意: restrictのオプションは例です。各自マニュアルでご確認の上、
>> 取捨選択下さい。
>>
>> --
>> 松元隆二
>> _______________________________________________
>> freebsd-users-jp at freebsd.org mailing list
>> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
>> To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe at freebsd.org"
More information about the freebsd-users-jp
mailing list