原因は外部からNTPサービスへ多数の接続があったぽく、JANOGのメーリングリストでも話題になってましたが
NTPサービスへのリフレクタ攻撃っぽいです。
https://cert.litnet.lt/en/docs/ntp-distributed-reflection-dos-attacks
トラフィックログを見てホスト(SRX210)へのNTP接続が多数あったので気づきました。
NTPサービスは公開してないのでNATをかけてませんが、外部からホストへの接続は許可してしまってたので
NTP問い合わせについてはSRX210自体が応答してしまってました。
とりあえず、検証用に許可していたホスト自体への接続に、下記のように拒否ポリシーを追加して
全てをぶった切っておきました。
# edit security policies from-zone untrust to-zone junos-host # show policy untrust-to-host { match { source-address any; destination-address any; application any; } then { deny; log { session-init; } } }
============================================================================
トラフィックログを見ると1日で約20万の”RT_FLOW_SESSION_CREATE”があったようなんですが
Cactiで採っているセッション数は変わらず・・・・。
なんか、トータルセッション数は増えない接続(接続→切断→接続)をしてるっぽい。
「そろそろ対策するかなぁ」と思ってましたが、勤め先より早く個人宅に襲来するとは。
根本的な原因は油断ですね、自戒します。