Toggle sidebar

An alle Berteiber von öffentlichen NTP Server

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
jahlives

jahlives

Benutzer
Registriert
19. Aug. 2008
Beiträge
18.275
Reaktionspunkte
4
Punkte
0
Ich habe mal mit der monlist-Abfrage den ntpd der DS gefragt - der liefert bei mir keine Liste aus. Allerdings habe ich meine ntp.conf auch ein wenig getunt (u.a. auch mit noquery), ich hänge sie mal hier an...
Rich (BBCode): 
server ptbtime1.ptb.de minpoll 6 maxpoll 10 iburst prefer
server ptbtime2.ptb.de minpoll 6 maxpoll 10 iburst
server ptbtime3.ptb.de minpoll 6 maxpoll 10 iburst
server 127.127.1.0
fudge 127.127.1.0 stratum 12
restrict default noquery notrust nomodify
restrict -6 default noquery notrust nomodify
restrict ptbtime1.ptb.de
restrict ptbtime2.ptb.de
restrict ptbtime3.ptb.de
tos beacon 3600 ceiling 16 cohort 0 floor 1 maxclock 10 maxdist 1.5 minclock 3 mindist 0.001 minsane 1 orphan 16
tinker allan 1500 dispersion 15 freq 0 huffpuff 7200 panic 1000 step 0.128 stepout 900
 
Synology hat nachgebessert - für DSM4.3-3827 gibt es ein Update 1, wo diese Schwäche behoben wurde (siehe hier).
 
@Frogman
schön dass Synology nachgebessert hat, aber etwas darf man nicht ausser acht lassen. Nicht nur die Applikation (NTP) wird angegriffen sondern auch das Netz. Wenn man z.B. einen NTP hinter einem Homerouter hat und solch massiven Besuch bekommt, dann sind die NAT/State Tabellen des Routers ratzfatz ausgeschossen. Auch wenn NTP diese Anfragen gar nicht beantwortet. Dann kommt man weder auf den Router noch ins Netz --> selber DOSst :-)
Ich hatte zu Spitzenzeiten gut 20'000 aktive Sessions, mein Router kann absolut max 23'000. Da ging fast nichts mehr obwohl der NTP diese Anfragen nicht beantwortet hat. Für Firewall mit iptables gibt es eine sehr effektive Regel, welche die NTP monlist Pakete direkt verwirft. Leider bringt die Regel auf dem NTP Server selber nicht viel, wenn der hinter einem Router hängt. Diese Regel MUSS auf den Perimeter Router. Zudem hat Synology das nötige u32 Modul nicht mitdabei.
Aber für alle welche iptables auf dem Router haben ist diese Regel die Lösung damit diese Schrottanfragen es schon gar nicht in die NAT/State Tabellen schaffen
Code: 
-A FORWARD -p 17 -m multiport --ports 123 -m u32 --u32 "0>>22&0x3C@8&0xFF=42" -j DROP
u32 schaut in jedes NTP Paket und verwirft alle welche mit dem Request Code 42 (monlist) reinkommen
 
Klasse, danke für den Hinweis mit der Regel :)
 
Hier mal noch meine Taffic-Stats von meinem Homerouter zur Spitzenzeit. Fairerweise muss ich sagen, dass zu diesem Zeitpunkt mein ntp Server noch auf monlist geantwortet hat :-) Kleiner Hinweis: bei Debian ist noquery default, aber bei Centos nicht. Wie die defaults bei anderen Distris ausschauen, weiss ich aber ned
zabbix.jpg
und das auf einem kleinen Homerouter, hätte Spiegeleier braten können auf dem Teil :-)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten