fragwürdige Zeitserver in pool.ntp.org?

14

Ich habe bemerkt , dass, nachdem die reg - Einstellungen in Episode 52 des Stack Overflow Podcast skizzierte Ändern pool.ntp.org , hält meine Box Zeit von gordo.foofus.net anfordern. Die auf dieser Box gehostete Website ist sehr seltsam. Ist das ein gültiger Zeitserver?

ntp security

— John
quelle

1

OK, gordo, genug Eigenwerbung. :) Ich habe die Frage bearbeitet, um ein bisschen allgemeiner zu sein ..

— Jeff Atwood

16

Pool.ntp.org ist ein Lastenausgleich auf DNS-Ebene. Jeff ist zufällig auf diesen Server verwiesen worden, den Betreuern des NTP-Pools ist es egal, was der Server auf seinem Port 80 (http) ausführt, nur dass er die Zeit über NTP korrekt bedient.

— Skolima
quelle

6

Ich habe mir gerade die 52. Folge des Podcasts angehört und festgestellt, dass Joel dasselbe getan hat. Dieser Server befindet sich im Zeitserverpool von ntp.org. Wie von Alex bemerkt, dient es einer gültigen Zeit und scheint nichts zu tun, was nicht der Spezifikation entspricht.

— dr.pooter
quelle

4

Dies sieht für mich wie ein legitimer Zeitserver aus:

[hex] ~% ntpdate -q gordo.foofus.net server 64.73.32.135, stratum 2, offset 21.538520, delay 0.05049 12 Jun 13:07:19 ntpdate [1098]: step time server 64.73.32.135 offset 21.538520 sec

Wenn Sie neugierig werden und ntpdate installiert haben, können Sie jederzeit die Option -q verwenden, um einfach nach der Uhrzeit zu fragen, ohne Ihre Uhr zu ändern.

Es ist allerdings sehr seltsam.

4

Als Zeitserver würde ich mir da keine Sorgen machen. Alles scheint in Ordnung für den NTP-Dienst. Die Website ist lustig, aber wie Skolima sagte, unterwirft der ntp.org-Pool keine Einschränkungen für den Inhalt der Website im Pool. Ich muss sagen, ich habe einen Kick von "Gordos Antwort" bekommen.

Habe Spaß

3

Wählen Sie einfach einen "Echtzeit" -Server aus ... die feinen Leute von NIST werden dafür bezahlt, diesen Service zu erbringen.

— Joseph Kern
quelle

10

-1 für den Vorschlag, Stratum 1-Zeitserver zu verwenden, ohne eine Notwendigkeit zu qualifizieren. Siehe support.ntp.org/bin/view/Servers/RulesOfEngagement .

— Jesper M

1

+1 zum Lesen der Dokumentation!

— Joseph Kern

3

Dies ist ein legitimer Zeitserver. Es handelt sich um einen Stratum-2-Server, der mit 12 Stratum-1-Zeitquellen verknüpft ist.

— user9360
quelle

1

Wenn Sie sich die Hauptdomain http://www.foofus.net/ ansehen , handelt es sich um ein legitimes Sicherheitsblog.

Bezüglich der Subdomain gordo.foofus.net habe ich keine Ahnung.

Anapologetos

— Josh Brower
quelle

Hmm. Vertraue niemals Sicherheitsleuten! Meine Vermutung: Jemand entschied sich, HTTPS anzugreifen, indem er die Uhren abgelaufener Zertifikate zurückstellte. Es kann sogar zu einem zeitbasierten Angriff auf Sperrlisten kommen.

— Jldugger

1

Hey, ich ähnele dieser Bemerkung! :)

— Josh Brower

1

Es scheint kein Problem mit dem Server zu geben. Klar, die Serveradministratoren sind total verrückt, aber ich halte das für einen Bonus! :) Ich bin jetzt ein großer Fan von gordo.foofus.net-attacken.mp3

1

Das ist ein ausgezeichneter Punkt, Jeff. Ich denke, pool.ntp.org ist eine großartige Ressource und unterstützt das Internet im Allgemeinen so, wie Sie es in Episode 52 bemerkt haben.

Trotzdem ist es für mich interessant, dass jeder irgendwo einen Server in den NTP-Pool einschleusen kann. Aus kontroverser Sicht hat dies einige potenzielle Auswirkungen. Aus architektonischer Sicht denke ich, dass die Art und Weise, wie der Pool gebaut wird, die Auswirkungen minimieren kann.

Sollte ein Angreifer jedoch eine Art von DNS-Cache-Poisoning-Angriff einsetzen, um die NTP-Synchronisierung eines Netzwerks auf seinen bösartigen Server zu verlagern, könnte dies interessant werden. Es gibt viele andere Angriffsszenarien, die ich mir vorstellen kann.

— dr.pooter
quelle

1

Sie sollten sicherstellen, dass Sie das spezifischste geografische Gebiet verwenden, das Ihrem Standort entspricht und das auf ntp.org angeboten wird.

Zum Beispiel gibt es eine us.pool.ntp.org, die immer einen Zeitserver in den Vereinigten Staaten zurückgibt. Es gibt andere geografische Pools auf der ganzen Welt.

Dies stellt sicher, dass Sie keinen Zeitserver auf der ganzen Welt erhalten, wenn sich ein perfekter und genauerer Server in Ihrem Garten befindet.

Dies wurde auch in einem anderen Thread zu Server Fault erörtert

— Richard West
quelle

0

Pool.ntp.org funktioniert so, dass DNS-Lookups für Zeitserver an ein (zufällig ausgewähltes) Mitglied des Pools umgeleitet werden. Jeder Server, der sich im Pool befindet, hat einen eigenen Namen. Wenn Sie eine umgekehrte DNS-Suche nach seiner IP-Adresse durchführen, erhalten Sie seinen echten Namen und nicht den Namen des Pools, mit dem Sie begonnen haben.

Vielleicht hilft ein Beispiel:

$ nslookup pool.ntp.org
Non-authoritative answer:
Name:    pool.ntp.org
Address: 83.133.127.245
Name:    pool.ntp.org
Address: 217.25.36.102

$ nslookup 83.133.127.245
Non-authoritative answer:
245.127.133.83.in-addr.arpa     name = wikisquare.de.

$ randy@hex:~$ nslookup
Non-authoritative answer:
102.36.25.217.in-addr.arpa      name = orbit.infidyne.com.

— Randy Orrison
quelle