所以大学 IT 安全团队和我一直在不停地讨论这个问题……任何人对此都有任何想法:
我最近为我的实验室在一台专用计算机(英特尔 Avoton C2550 处理器——如果需要,很乐意提供更多硬件信息,但我认为没有必要)上运行 Debian 8.6 设置了一个小型文件服务器。Debian 安装没有任何问题,当时我还安装了 Samba、NTP、ZFS 和 python。事情似乎运行良好,所以我让它在实验室的角落里坐了几个星期。
大约两周前,我收到了来自 IT 团队的一封电子邮件,说我的服务器已被“入侵”并且容易被用于 NTP 放大/DDoS 攻击(使用 CVE-2013-5211 的 NTP 放大攻击,如https 所述: //www.us-cert.gov/ncas/alerts/TA14-013A)。他们指出的标志是端口 123 上的大量 NTPv2 流量。奇怪的是,他们确定来自 ( *.*.*.233) 的 IP 地址与我的服务器配置并通过 ifconfig ( *.*.*.77)报告的 IP 地址不同。尽管如此,一些基本的故障排除表明我的计算机确实在端口 123 上生成了此流量(如 tcpdump 所揭示的)。
这就是奇怪的开始。我首先浏览了针对 CVE-2013-5211 推荐的“修复”(更新 NTP 过去版本 4.2.7 以及禁用 monlist 功能)。两者都没有阻止交通流量。然后我尝试通过 IP 表阻止 UDP 123 端口:
$ /sbin/iptables -A INPUT -o eth0 -p udp --destination-port 123 -j DROP
$ /sbin/iptables -A OUTPUT -o eth0 …