発生から24時間で計40数万セッションになり、現在はロギングすること自体が高負荷の要因になる勢いになってるんで
一時的に該当ポリシーのロギング停止と、ログの削除を実施しました。
攻撃はスクリプトだろうし、RejectじゃなくDenyでやってるんで当分の間は続くと思うと憂鬱・・・・。
・該当ポリシーのロギング停止
# edit security policies from-zone untrust to-zone junos-host # delete policy untrust-to-host then log # commit
・ログ(MySQLへのSyslog分)の削除
mysql> delete from SystemEvents Where Message like '%junos-ntp%';
Query OK, 442381 rows affected (14.72 sec)
ロギングを止めたら、以下のように負荷が下がりました。
23:55 ロギングの停止とcommit
ntpサービスへの攻撃とロギング停止
====================================================
NTPはDNSと同じように詐称が容易なUDPなんで、ソースIPアドレスに反撃しても意味がないんだろうけど
この怒りはどこに向ければ良いんだろうか。
現在進行形ですが、実際に攻撃が始まってからは10数時間で、この間で40数万セッションっぽい。
個人にとって、約10セッション/秒とか鬼畜以外の何者でないですな。