Servidor NTP provoca un bloqueo en el router

Javinator9889
Yo probé el VDSL
Servidor NTP provoca un bloqueo en el router

Hola, buenos días.

 

Dispongo en mi casa de un servidor multiusos en el cual he decidido montar un servidor NTP para poder contribuir al proyecto NTP (https://www.ntppool.org/es/), ya que me parece muy interesante y en España no disponemos casi de servidores para la cantidad de habitantes que hay.

El servidor funciona perfectamente y recibe/contesta a las peticiones sin problema. La cuestión es que, cuando se alcanza una puntuación superior a 10 puntos (el mínimo para participar en una pool), el router se bloquea durante unos 8 minutos y es imposible acceder a ninguna página web pero sí se mantienen abiertas y operativas las conexiones actuales.

No sé si es debido a la cantidad de tráfico que llega de repente de las diversas pools y que el router no da a basto o bien a que Movistar pueda estar bloqueando las conexiones "pensando" que se trata de un ataque DDoS - he pensado que quizás con un QoS pudiera bastar pero he sido incapaz de configurarlo para los propósitos actuales.

 

Agradezco cualquier ayuda que sea posible o bien si tengo que desistir en donar mi servidor a este proyecto 😅

Muchas gracias de antemano

Etiquetas (5)
Mensaje 1 de 8
2.355 Visitas
7 RESPUESTAS 7
Theliel
Yo probé el VDSL

Buenas @Javinator9889 

 

Movistar no puede bloquear ningún tipo de tráfico ni balancearlo, por suerte, por la neutralidad de la red. Tendría realmente que detectar una anomalía que pusiese en riesgo real a sus clientes para hacer algo así.

 

En este caso, aunque no he realizado ninguna prueba al respecto, muy posiblemente sea debido a problemas de saturación en el Router por conexiones, no por tráfico, NTP requiere poco ancho, pero va a depender mucho de los clientes conectados. La RAM en estos dispositivos es un bien escaso, dependiendo del Router que tengas serán 64, 128 o 256Mb, lo que constituya en cualquier caso un recurso "limitado", tanto en conexiones que pueda gestionar la tabla NAT (debido a que tu equipo está detrás del Router y no conectado directamente, o gestionado directamente por el Router), como en los buffer TCP/UDP

 

A todo ello tienes que añadirte un problema importante, y que de nuevo no puedo decir que sea tu caso, pero podría serlo, o llegar a serlo.

 

NTP, al igual que DNS, son dos protocolos que se han usado (y aun se usan) de forma extensa para realizar ataques DDOS reflejados o de amplificación. Básicamente personas mal intencionadas explotan vulnerabilidades del propio protocolo, ya ni siquiera de la implementación, para poder hundir, literalmente, servidores y redes de terceros, de forma eficaz y rápida. NTP es un gran conocido... no tengo a manos ahora mismo números reales, pero el factor de amplificación NTP si no recuerdo mal es de más de x100. Estos ataques se basan en algo sencillo, enviar al servidor una petición concreta que va a generar una respuesta "larga", modificando la IP de origen de la petición por el equipo que se quiera atacar, lo cual hace que el servidor NTP responda largas cadenas a ese otro equipo. UDP no requiere estado de conexión, con lo que el atacante puede estar bombardeando constantemente en este esquema, con la ventaja que con un factor de 100:1, significa que por cada 1Mb/s de tráfico que envía el atacante, el servidor NTP y el equipo atacado tienen que hacer frente a 100Mb/s. Si el ataque lo realizas desde una pequeña red de 100 equipos, el servidor NTP y el servidor atacado reciben una buena paliza.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 8
2.322 Visitas
Javinator9889
Yo probé el VDSL

Hola @Theliel 

Muchísimas gracias por una respuesta tan temprana. Estoy de acuerdo en el punto del router y no había caído en la parte de "Neutralidad en la red" (aunque igualmente he leído que Movistar puede hacer acciones similares para evitar el colapso de la red) pero creo que definitivamente es por parte del router: además de las conexiones NTP, el servidor que tengo montado también gestiona otras múltiples conexiones simultáneas y genera muchísimo tráfico (del orden de varios Tb), añadiéndole que en mi domicilio hay fácilmente 4 dispositivos extra conectados casi permanentemente que, obviamente, también generan tráfico por el mero hecho de estar conectados. También está el Movistar+ TV que, aunque funcione por otro protocolo, entiendo que sigue consumiendo los recursos del router.

Creo que el alto tráfico de NTP es debido a que en España no hay apenas servidores para este servicio, e incluso sin entrar a participar en la pool ya se empiezan a recibir conexiones, lo cual implica que se necesiten muchos recursos.

Tal y como lo entiendo, una posible solución sería comprar un router a parte de más capacidad y poner el de Movistar en modo Bridge, lo cual no debería de consumir los recursos ya que no necesitaría hacer uso de ninguna de las tablas y solo se encargaría del servicio de voz y TV, ¿me podrías confirmar que esto sería así?

 

Muchas gracias de antemano y un saludo

Mensaje 3 de 8
2.284 Visitas
Theliel
Yo probé el VDSL

Buenas @Javinator9889 

 

A medias.

 

No sé que modelo de Router tienes... algunos pueden trampearse para ponerse en bridge completo, en otros, con ONT independiente, si que puedes poner lo que te de la gana y configurarlo a gusto.

 

En el caso de poder hacer  un bridge completo, el de Movistar pasaría efectivamente gran cantidad de procesamiento al  secundario. Eso no significa que por su lado no tuviese que trabajar nada, algunas funciones seguirán siendo propias del "bridge", pero obviamente muy muy lejos del trabajo que tendría que estar soportando de otro modo. Sí existe un "problema", los equipos son de Movistar y hay muchos servicios internos que quieras o no el Router de ellos va a seguir corriendo... eso se traduce en que no "descarga" todo lo que podría estar descargando.

 

En el caso de un medio-bridge, que es por lo general como se configuran los HGU, toda la carga de Internet la puedes evitar, pero el HGU sigue gestionando bastantes recursos, la propia ONT está incorporada en él, y la TV VoIP los sigue gestionando también.

 

Los HGU no son en absoluto un mal hardware, tienen una capacidad decente, el problema es que se diseñaron para usos domésticos, y con un software como es lógico pensado para Movistar, el cual deja, desde mi punto de vista, bastante que desear. Obviamente tenemos en el mercado equipos bastante superiores y preparados para cualquier tipo de escenarios, equipos que no solo podemos hacer un uso extensivo de QoS, sino aplicar reglas concretas por ejemplo para un servidor NTP, que te digo yo... limitar directamente con una sencilla regla iptables el número de peticiones por segundo

 

Para un usuario normal, el HGU está muy bien, pero si se quiere poder exprimir un poco...



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 8
2.271 Visitas
Javinator9889
Yo probé el VDSL

Sí, tienes razón @Theliel, voy a ver si puedo exprimir el HGU 😂
De momento he reducido el ancho de banda y limitado las zonas solo a Europa y España, y parece que de momento funciona bien y no se colapsa.
Mantengo este hilo abierto para ir informando de lo que suceda.

 

Muchas gracias por el soporte.

Mensaje 5 de 8
2.266 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @Javinator9889 Bienvenid@ a la Comunidad Movistar !

 

Me alegra saber que con la información aportada por @Theliel ( gracias por tu participación ) y la configuración realizada, ahora te esté funcionando 🙂

 

Si quieres, dejamos el hilo abierto unos días para que puedas ir comprobando si todo sigue correcto.

 

Gracias, un saludo, Mar.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 6 de 8
2.258 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @Javinator9889 !

 

No hemos vuelto a tener noticias tuyas.

 

¿ Has podido comprobar en éstos días si sigue todo correcto ?

 

Gracias, un saludo, Mar.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 7 de 8
2.206 Visitas
Técnico-Movistar
Técnico Banda Ancha

Hola @Javinator9889 !

 

Al no volver a tener noticias tuyas e indicar en poste anteriores que ya tenías la incidencia solucionada, procedemos a cerrar el hilo.

 

Recordarte que para cualquier consulta o gestión que necesites, no dudes en contactar con nosotros.

 

Gracias por participar en la Comunidad Movistar.

 

Un saludo, Mar.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 8 de 8
2.183 Visitas