[FreeBSD-users-jp 95130] Re: [FYI] NTPのDDoSの件

Katsutoshi Nakatomi nakatomi at nakacya.jp
Tue Jan 28 02:49:35 UTC 2014


中冨です

UDP で有る以上、 Reflection は致し方ないことだと思ってます(割り切っています
#TimeOut や Reject を Ref先に送るだけなら UDP全般 で出来ちゃうのでは?

無論、不用意に開けておく必要性も有りませんし kernel に近いところで
filter するのが最善で「どうにもならん」と言う時はアプリで制限でしょうかね。

OpenResoler も OpenNTP も Reflection が問題の根幹ではなく
「増幅効果が爆発的に大きい」と言う事が最悪の問題点だと思っています。


On Tue, 28 Jan 2014 11:23:51 +0900
Genta IHA <genta at teeda.jp> wrote:

> 伊波ともうします。
> 以下の2つの理由から、基本的にpfまたはipfilterベースで
> ステートフル的なフィルタを書くほうがお勧めです。
> 
> (1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと
> (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること
> 
> --
> 伊波 源太 / Genta IHA
> 
> 2014年1月28日 11:03 Ryuji MATSUMOTO <matumoto at pluto.ai.kyutech.ac.jp>:
> > 松元@どっかの大学です。
> >
> > 補足ですが、
> >> たけふ@大阪豊中です。
> >>
> >> ipfw(4) でフィルターする解も有りますけど、
> >> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。
> >
> >>> restrict default ignore
> >>> restrict -6 default ignore
> >
> > この設定をする場合、
> >
> >> 必要に合わせてアクセス許可を列挙しています。
> >>
> >>> restrict 127.0.0.1
> >>> restrict -6 ::1
> >
> > restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ
> > うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした)
> >
> > なので、
> > -- こう書いたら --
> > server AA.BB.CC.DD
> >
> > restrict default ignore
> > restrict -6 default ignore
> > ------------------
> >
> > -- ntp.confに以下の行が必要 --
> > restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap
> > ----
> >
> > 注意: restrictのオプションは例です。各自マニュアルでご確認の上、
> > 取捨選択下さい。
> >
> > --
> > 松元隆二
> > _______________________________________________
> > freebsd-users-jp at freebsd.org mailing list
> > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
> > To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe at freebsd.org"
> _______________________________________________
> freebsd-users-jp at freebsd.org mailing list
> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp
> To unsubscribe, send any mail to "freebsd-users-jp-unsubscribe at freebsd.org"

-- 
Katsutoshi Nakatomi <nakatomi at nakacya.jp>



More information about the freebsd-users-jp mailing list