máy đếm thời gian nghi vấn trong pool.ntp.org?


14

Tôi đã nhận thấy rằng, sau khi thay đổi cài đặt reg được nêu trong Tập 52 của podcast Stack Overflow thành pool.ntp.org , hộp của tôi tiếp tục yêu cầu thời gian từ gordo.foustus.net. Các trang web được lưu trữ trên hộp đó là rất lạ. Đây có phải là một máy chủ thời gian hợp lệ?


1
OK gordo, đủ tự quảng cáo. :) Tôi đã chỉnh sửa câu hỏi để chung chung hơn một chút ..
Jeff Atwood

Câu trả lời:


16

Pool.ntp.org là một bộ cân bằng tải cấp DNS. Jeff tình cờ được chỉ dẫn đến cái đó, những người bảo trì nhóm NTP không quan tâm máy chủ chạy trên cổng 80 (http) của nó, chỉ có điều nó phục vụ thời gian qua NTP một cách chính xác.


6

Tôi vừa nghe tập 52 của podcast và nhận thấy điều tương tự Joel đã làm. Máy chủ này sống trong nhóm máy chủ thời gian ntp.org. Theo ghi nhận của Alex, nó đang phục vụ một thời gian hợp lệ và dường như không làm bất cứ điều gì ngoài thông số kỹ thuật.


4

Đây trông giống như một máy chủ thời gian hợp pháp đối với tôi:

[hex] ~% ntpdate -q gordo.foustus.net máy chủ 64.73.32.135, tầng 2, bù 21.538520, trì hoãn 0.05049 12 tháng 6

Nếu bạn từng tò mò và đã cài đặt ntpdate, bạn luôn có thể sử dụng tùy chọn -q để chỉ cần hỏi thời gian mà không cần thay đổi đồng hồ.

Nó rất lạ, mặc dù.


4

Tôi chắc chắn sẽ không lo lắng về nó như một máy chủ thời gian. Tất cả mọi thứ có vẻ tốt wrt dịch vụ NTP. Trang web này rất buồn cười, nhưng, như Skolima đã nói, nhóm ntp.org không đặt bất kỳ hạn chế nào đối với nội dung trang web trong nhóm. Tôi phải nói rằng, tôi đã nhận được một cú đá từ "Phản ứng của Gordo."

Chúc vui vẻ



3

Đây là một máy chủ thời gian hợp pháp. Đó là một máy chủ tầng 2 và được liên kết với 12 nguồn thời gian tầng 1.


1

Nếu bạn nhìn vào tên miền chính, http://www.foustus.net/ , thì đó là một blog bảo mật hợp pháp.

Đối với tên miền phụ gordo.foustus.net, tôi không có ý tưởng.

Anapologetos


Hừm. Đừng bao giờ tin những kẻ bảo mật! Tôi đoán: ai đó đã quyết định tấn công HTTPS bằng cách quay ngược đồng hồ trên các certs đã hết hạn. Thậm chí có thể có một cuộc tấn công dựa trên thời gian trong danh sách thu hồi.
jldugger

1
Này, tôi giống như nhận xét đó! :)
Josh Brower

1

Có vẻ như không có vấn đề gì với máy chủ. Rõ ràng, các quản trị viên máy chủ hoàn toàn điên rồ, nhưng tôi coi đó là một phần thưởng! :) Bây giờ tôi là một fan hâm mộ lớn của gordo.foustus.net-Tấn công.mp3


1

Đó là một điểm tuyệt vời Jeff. Tôi nghĩ pool.ntp.org là một tài nguyên tuyệt vời và thường hỗ trợ Internet theo những cách bạn đã lưu ý trong Tập 52.

Điều đó nói rằng, thật thú vị với tôi rằng bất cứ ai, ở bất cứ đâu, đều có thể đưa máy chủ vào nhóm NTP. Từ góc độ đối nghịch, điều này có một số tác động tiềm năng. Từ góc độ kiến ​​trúc, tôi nghĩ cách xây dựng hồ bơi có thể giảm thiểu tác động.

Tuy nhiên, nếu một kẻ thù sử dụng một số loại tấn công ngộ độc bộ đệm DNS để chuyển NTP của mạng thành máy chủ độc hại của họ, điều đó có thể trở nên thú vị. Có nhiều kịch bản tấn công khác mà tôi có thể nghĩ ra.


1

Bạn nên đảm bảo rằng bạn đang sử dụng khu vực địa lý cụ thể nhất phù hợp với vị trí của bạn và được cung cấp tại ntp.org.

Ví dụ: có một us.pool.ntp.org sẽ luôn trả về một máy chủ thời gian ở Hoa Kỳ. Có các hồ địa lý khác có sẵn trên khắp thế giới.

Điều này đảm bảo rằng bạn sẽ không nhận được máy chủ thời gian cách nửa vòng trái đất khi một máy chủ hoàn toàn tốt và chính xác hơn có thể ở sân sau của bạn.

Điều này cũng đã được thảo luận trong một chủ đề khác trên Server Fault


0

Cách mà pool.ntp.org hoạt động là việc tra cứu DNS cho các máy chủ thời gian chuyển hướng đến một thành viên (được chọn ngẫu nhiên) của nhóm. Mỗi máy chủ trong nhóm sẽ có tên riêng và nếu bạn thực hiện tra cứu DNS ngược trên địa chỉ IP của nó, bạn sẽ nhận được tên thật của mình chứ không phải tên nhóm bạn đã bắt đầu.

Có lẽ một ví dụ sẽ giúp:

$ nslookup pool.ntp.org
Non-authoritative answer:
Name:    pool.ntp.org
Address: 83.133.127.245
Name:    pool.ntp.org
Address: 217.25.36.102

$ nslookup 83.133.127.245
Non-authoritative answer:
245.127.133.83.in-addr.arpa     name = wikisquare.de.

$ randy@hex:~$ nslookup
Non-authoritative answer:
102.36.25.217.in-addr.arpa      name = orbit.infidyne.com.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.