VMware ESXi 4.1およびNTP攻撃

こんにちは

要するに-ヘッツナーから幸福の手紙を受け取った、IPアドレスは攻撃に関与している、

アドレスがvmware esxi 4.1ホストに属していることに驚いた



手紙は明らかに、犯人ntp





そして実際、esxiはユーティリティリクエストに迅速に応答しました。



ntpq --peers myesxi.example.com

ポーリングが遅延オフセットジッタに達するときのリモートrefid st t

================================================== ===

nsx.customer 192.0.2.1 2 u 1024 64 1 9.057 1015598 0.001



もちろん、私はesxiがntpサーバーモードで動作するとは思わなかったので驚いた



修正するには、設定に/etc/ntp.confを追加するだけです



デフォルトの無視を制限



サービスを再起動します



攻撃の本質は、DNS増幅攻撃に似ています。

被害者のなりすましアドレスはntpリクエストのソースです。

そして、すべての答えが被害者に届き、それによってチャネルが詰まる



esxi 5.1では、この問題は観察されません（組み込みのfarvolaが存在するため）