SRX210のNTPDサービスで高CPU使用率 パート2

原因は外部からNTPサービスへ多数の接続があったぽく、JANOGのメーリングリストでも話題になってましたが
NTPサービスへのリフレクタ攻撃っぽいです。
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks

トラフィックログを見てホスト(SRX210)へのNTP接続が多数あったので気づきました。
NTPサービスは公開してないのでNATをかけてませんが、外部からホストへの接続は許可してしまってたので
NTP問い合わせについてはSRX210自体が応答してしまってました。

とりあえず、検証用に許可していたホスト自体への接続に、下記のように拒否ポリシーを追加して
全てをぶった切っておきました。

# edit security policies from-zone untrust to-zone junos-host
# show
policy untrust-to-host {
    match {
        source-address any;
        destination-address any;
        application any;
    }
    then {
        deny;
        log {
            session-init;
        }
    }
}

============================================================================
トラフィックログを見ると1日で約20万の”RT_FLOW_SESSION_CREATE”があったようなんですが
Cactiで採っているセッション数は変わらず・・・・。
なんか、トータルセッション数は増えない接続(接続→切断→接続)をしてるっぽい。

「そろそろ対策するかなぁ」と思ってましたが、勤め先より早く個人宅に襲来するとは。
根本的な原因は油断ですね、自戒します。