ESXiホスト上のNTPサーバーを悪用するDRDoSに対してどのように防御できますか？

質問には答えられません-そしてあなたは与えられることができる答えが気に入らないかもしれません。

2つのシナリオでは、除外する詳細について言及していません。

1-あなたは増幅するために使用されました。この場合、なぜESXiホストにインターネットからアクセスできるのか疑問に思います。すべきではありません。パブリックIPを使用しないでください。私はESXを実行していませんが、顧客と男性のために多数のHyper-Vサーバーを維持していますが、インターネット上にはそれらのサーバーはありません。それらは内部ネットワークに存在し、すべてのアクセスはVPNを介してその内部ゲートウェイに行われます。はい、サーバーにはパブリックIPアドレス（仮想サーバー）がある場合がありますが、ホストにはありません。する必要がない。インターネットから送信されたすべてのトラフィックは（NAT経由で）ファイアウォールを通過するため、保護されます。私は、セキュリティにおけるこの専門的なベースラインを考慮しています。

2-あなたは標的にされました。この場合-まさか。それは、「注文したことのない大量の荷物を人々が送ってこないように、家で何をするのか」と言っているようなものです。トラフィックがESXホストに到達するまでに、すでに帯域幅が過負荷になっています。繰り返しになりますが、なぜホストはインターネット上にあるのですか？

このDDoS攻撃にさらされないようにESXi上のNTPサーバーを構成するにはどうすればよいですか？

現時点では、実際にはできません。 ESXiのntpdは実際には構成可能ではないため（少なくともVMwareでサポートされている方法では）、オプションは実際にオンまたはオフになっています。

おそらく、VMwareは問題に対処するためにパッチまたはアップデートを間もなくリリースする予定であり（現在、問題に対処していると言っているものは見当たりません）、問題が発生したときにそれを適用できますが、それではうまくいきません今。

could ESXiホストを 脆弱性のない新しいntpdクライアントに手動で更新します （ESXiは「結局のところ」カスタマイズされたLinuxディストリビューションです） 、しかし私はそうしませんし、VMwareでサポートされていない構成になるリスクがあります。

もちろん、質問で示唆しているように、サービスをオフにすることで攻撃を防ぐこともできます（当面の間）。

または、サービスをオフにした場合、VMに影響はありますか？

これは、ゲストオペレーティングシステムがntp用にどのように構成されているかに完全に依存します。ホストシステムと時間を同期するように構成されている場合、時間の同期が失われ始めます（アイドル状態のCPU使用に費やす時間が長いほど、時間のずれが悪化します）。

別のntpソースから時間を取得するように構成されている場合、問題は発生しません...もちろん、脆弱なntpクライアントも実行している場合を除きます。その場合、おそらくDRDoS攻撃を受けます。ホストの代わりに。

現在、仮想ゲストOSをホストサーバーから時間を取得するように構成している場合は、ユースケースに完全に依存する別のアプローチを検討する良い機会かもしれません。 Windowsドメインを実行すると、これが簡単になります-PDCエミュレーターは信頼できる（外部）ntpソースからntp時間を取得し、他のすべてのドメインコントローラーはPDCエミュレーター、およびすべてのクライアントは、ローカルのドメインコントローラーから時間を取得します。もちろん、使用例は異なるか、より複雑になる可能性があります。

私はここにある長いが無関係な答えすべてに本当に戸惑っています...

答えは簡単です。ESXiブルティンファイアウォールを有効にしてください。

デフォルトでは有効になっており、着信NTPトラフィックをブロックします。そもそもなぜ無効にしたのですか？

まず、これを回避するために、ESXiで外部ソースから時間を取得しないようにする必要があります。

NTPサーバーを内部的に作成することをお勧めします。これにより、サーバー自体がntp.orgサーバーによってプールされ、NTPDDDOS攻撃を軽減するために正しく保護されます。