こんにちは
要するに-ヘッツナーから幸福の手紙を受け取った、IPアドレスは攻撃に関与している、
アドレスがvmware esxi 4.1ホストに属していることに驚いた
手紙は明らかに、犯人ntp
そして実際、esxiはユーティリティリクエストに迅速に応答しました。
ntpq --peers myesxi.example.com
ポーリングが遅延オフセットジッタに達するときのリモートrefid st t
================================================== ===
nsx.customer 192.0.2.1 2 u 1024 64 1 9.057 1015598 0.001
もちろん、私はesxiがntpサーバーモードで動作するとは思わなかったので驚いた
修正するには、設定に/etc/ntp.confを追加するだけです
デフォルトの無視を制限
サービスを再起動します
攻撃の本質は、DNS増幅攻撃に似ています。
被害者のなりすましアドレスはntpリクエストのソースです。
そして、すべての答えが被害者に届き、それによってチャネルが詰まる
esxi 5.1では、この問題は観察されません(組み込みのfarvolaが存在するため)