ブログは毎日書かないとアクセス数が減る事がわかりました(笑)
いやいや、そういう事を書きたかった訳じゃなく(^^;)
お客さんが管理してるサーバーがものすごいトラフィックを出してて、何が起こったんだと思ってログインしてみらたらFreeBSDとか・・・
いや、そんな状態でもなんとか原因調査を始めてみたが
普段CentOSやScientific LinuxなどのRedhat系を弄ってると設定ファイルや自動起動の設定方法がさっぱりわからんす(--;)
で・・・
いろいろ調べてたらタイムリーにさくらインタネットさんからこんな内容のメールが届いた。
なんと、そんなのが流行ってるのですか。。。
JPCERTさんのサイトを見ると2014年1月15日に注意喚起されてるじゃないですか。
ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
ntpdってUDPの通信やからなぁ(--;)
ざっくりだけど
ntpdのmonlist機能はリクエストに対して大きなサイズの返答を返す事を悪用したDDOS攻撃みたいです。
攻撃対象となるサーバーのIPに詐称してntp serverにリクエストを大量に送る事で詐称されたIPのサーバーは大きなサイズのパケットを受け取る事になり、結果としてサーバーの運用を妨害する事になるって事ですね。
踏み台にされたサーバーも大きなサイズのパケットを送信するのでネットワークのトラフィックが一気に跳ね上がります(--;)
自社で設定したサーバーはlocalhostからしかリクエストを受け付けない設定をデフォルトでしてるので問題無し(^^)
今回はお客さんの設定したサーバーだったので、その辺りの対応がされてなかったみたい。
最新のパッケージは対応されてるみたいだけど、対応方法はntpd.confに以下の1行を追加して再起動する
disable monitor
もしくは
restrictを使ってアクセスの制限を行う
いや~
あぶないあぶない。。。