就像現實生活中任何一件事情一樣,即便是像時間服務器這樣的公益項目,也會遭受不稱職的或者惡意的濫用。
消費類網絡設備的供應商因制造了大混亂而臭名昭著。我回想起的第一件事發生在 2003 年,那時,NetGear 在它們的路由器中硬編碼了威斯康星大學的 NTP 時間服務器地址。使得時間服務器的查詢請求突然增加,隨著 NetGear 賣出越來越多的路由器,這種情況越發嚴重。更有意思的是,路由器的程序設置是每秒鐘發送一次請求,這將使服務器難堪重負。后來 Netgear 發布了升級固件,但是,升級他們的設備的用戶很少,并且他們的其中一些用戶的設備,到今天為止,還在不停地每秒鐘查詢一次威斯康星大學的 NTP 服務器。Netgear 給威斯康星大學捐獻了一些錢,以幫助彌補他們帶來的成本增加,直到這些路由器全部淘汰。類似的事件還有 D-Link、Snapchat、TP-Link 等等。
對 NTP 協議進行反射和放大,已經成為發起 DDOS 攻擊的一個選擇。當攻擊者使用一個偽造的目標受害者的源地址向時間服務器發送請求,稱為反射攻擊;攻擊者發送請求到多個服務器,這些服務器將回復請求,這樣就使偽造的源地址受到轟炸。放大攻擊是指一個很小的請求收到大量的回復信息。例如,在 Linux 上,ntpq 命令是一個查詢你的 NTP 服務器并驗證它們的系統時間是否正確的很有用的工具。一些回復,比如,對端列表,是非常大的。組合使用反射和放大,攻擊者可以將 10 倍甚至更多帶寬的數據量發送到被攻擊者。
那么,如何保護提供公益服務的公共 NTP 服務器呢?從使用 NTP 4.2.7p26 或者更新的版本開始,它們可以幫助你的 Linux 發行版不會發生前面所說的這種問題,因為它們都是在 2010 年以后發布的。這個發行版都默認禁用了最常見的濫用攻擊。目前,最新版本是 4.2.8p10,它發布于 2017 年。
你可以采用的另一個措施是,在你的網絡上啟用入站和出站過濾器。阻塞宣稱來自你的網絡的數據包進入你的網絡,以及攔截發送到偽造返回地址的出站數據包。入站過濾器可以幫助你,而出站過濾器則幫助你和其他人。閱讀 BCP38.info 了解更多信息。
NTP 有超過 30 年的歷史了,它是至今還在使用的最老的因特網協議之一。它的用途是保持計算機與世界標準時間(UTC)的同步。NTP 網絡是分層組織的,并且同層的設備是對等的。層次Stratum 0 包含主報時設備,比如,原子鐘。層級 1 的時間服務器與層級 0 的設備同步。層級 2 的設備與層級 1 的設備同步,層級 3 的設備與層級 2 的設備同步。NTP 協議支持 16 個層級,現實中并沒有使用那么多的層級。同一個層級的服務器是相互對等的。
過去很長一段時間內,我們都為客戶端選擇配置單一的 NTP 服務器,而現在更好的做法是使用 NTP 服務器地址池,它使用輪詢的 DNS 信息去共享負載。池地址只是為客戶端服務的,比如單一的 PC 和你的本地局域網 NTP 服務器。當你運行一臺自己的公共服務器時,你不用使用這些池地址。
公共 NTP 服務器配置
運行一臺公共 NTP 服務器只有兩步:設置你的服務器,然后申請加入到 NTP 服務器池。運行一臺公共的 NTP 服務器是一種很高尚的行為,但是你得先知道這意味著什么。加入 NTP 服務器池是一種長期責任,因為即使你加入服務器池后,運行了很短的時間馬上退出,然后接下來的很多年你仍然會接收到請求。
你需要一個靜態的公共 IP 地址,一個至少 512Kb/s 帶寬的、可靠的、持久的因特網連接。NTP 使用的是 udp 的 123 端口。它對機器本身要求并不高,很多管理員在其它的面向公共的服務器(比如,Web 服務器)上順帶架設了 NTP 服務。
配置一臺公共的 NTP 服務器與配置一臺用于局域網的 NTP 服務器是一樣的,只需要幾個配置。我們從閱讀 協議規則 開始。遵守規則并注意你的行為;幾乎每個時間服務器的維護者都是像你這樣的志愿者。然后,從 StratumTwoTimeServers 中選擇 4 到 7 個層級 2 的上游服務器。選擇的時候,選取地理位置上靠近(小于 300 英里的)你的因特網服務提供商的上游服務器,閱讀他們的訪問規則,然后,使用 ping和 mtr去找到延遲和跳數最小的服務器。
以下的 /etc/ntp.conf配置示例文件,包括了 IPv4 和 IPv6,以及基本的安全防護:
# stratum 2 server list server servername_1 iburst server servername_2 iburst server servername_3 iburst server servername_4 iburst server servername_5 iburst # access restrictions restrict -4default kod noquery nomodify notrap nopeer limited restrict -6default kod noquery nomodify notrap nopeer limited #Allow ntpq and ntpdc queries only from localhost restrict 127.0.0.1 restrict ::1
啟動你的 NTP 服務器,讓它運行幾分鐘,然后測試它對遠程服務器的查詢:
$ ntpq -p remote refid st t when poll reach delay offset jitter ================================================================= +tock.no-such-ag 200.98.196.2122 u 3664798.65488.43965.123 +PBX.cytranet.ne 45.33.84.2083 u 3764772.419113.535129.313 *eterna.binary.n 199.102.46.702 u 3964792.93398.47556.778 +time.mclarkdev.132.236.56.2503 u 37645111.05988.02974.919
目前表現很好。現在從另一臺 PC 上使用你的 NTP 服務器名字進行測試。以下的示例是一個正確的輸出。如果有不正確的地方,你將看到一些錯誤信息。
$ ntpdate -q yourservername server 66.96.99.10, stratum 2, offset 0.017690, delay 0.12794 server 98.191.213.2, stratum 1, offset 0.014798, delay 0.22887 server 173.49.198.27, stratum 2, offset 0.020665, delay 0.15012 server 129.6.15.28, stratum 1, offset -0.018846, delay 0.20966 26Jan11:13:54 ntpdate[17293]: adjust time server 98.191.213.2 offset 0.014798 sec
一旦你的服務器運行的很好,你就可以向 manage.ntppool.org 申請加入池中。
查看官方的手冊 分布式網絡時間服務器(NTP) 學習所有的命令、配置選項、以及高級特性,比如,管理、查詢、和驗證。訪問以下的站點學習關于運行一臺時間服務器所需要的一切東西。
