serveurs de temps douteux dans pool.ntp.org?

14

J'ai remarqué qu'après avoir changé les paramètres de reg décrits dans l'épisode 52 du podcast Stack Overflow en pool.ntp.org , ma boîte continue de demander du temps à gordo.foofus.net. Le site Web hébergé sur cette boîte est très étrange. Est-ce un serveur de temps valide?

ntp security

— John
source

1

OK gordo, assez d'auto-promotion. :) J'ai modifié la question pour être un peu plus générale ..

— Jeff Atwood

16

Le pool.ntp.org est un équilibreur de charge au niveau DNS. Il se trouve que Jeff s'est dirigé vers celui-ci, les responsables du pool NTP ne se soucient pas de ce que le serveur exécute sur son port 80 (http), mais qu'il sert correctement le temps via NTP.

— skolima
source

6

Je viens d'écouter l'épisode 52 du podcast et j'ai remarqué la même chose que Joel. Ce serveur réside dans le pool de serveurs de temps ntp.org. Comme l'a noté Alex, il purge une heure valide et ne semble rien faire hors spécifications.

— dr.pooter
source

4

Cela ressemble à un serveur de temps légitime pour moi:

[hex] ~% ntpdate -q serveur gordo.foofus.net 64.73.32.135, strate 2, décalage 21.538520, retard 0.05049 12 juin 13:07:19 ntpdate [1098]: serveur de temps pas à pas 64.73.32.135 décalage 21.538520 sec

Si vous êtes curieux et que ntpdate est installé, vous pouvez toujours utiliser l'option -q pour simplement demander l'heure sans changer votre horloge.

C'est très étrange, cependant.

4

Je ne m'en inquiéterais certainement pas en tant que serveur de temps. Tout semble aller bien avec le service NTP. Le site Web est amusant, mais, comme l'a dit Skolima, le pool ntp.org ne place aucune restriction sur le contenu du site web dans le pool. Je dois dire que j'ai eu un coup de pied dans la "réponse de Gordo".

S'amuser

3

Choisissez simplement un serveur "en temps réel" ... les bons employés du NIST sont payés pour rendre ce service.

— Joseph Kern
source

10

-1 pour avoir suggéré d'utiliser des serveurs de temps Stratum 1 sans qualifier un besoin. Voir support.ntp.org/bin/view/Servers/RulesOfEngagement .

— Jesper M

1

+1 pour lire la documentation!

— Joseph Kern

3

Il s'agit d'un serveur de temps légitime. Il s'agit d'un serveur strate-2 et est lié à 12 sources temporelles strate-1.

— user9360
source

1

Si vous regardez le domaine principal, http://www.foofus.net/ , c'est un blog de sécurité légitime.

Quant au sous-domaine gordo.foofus.net, je n'en ai aucune idée.

Anapologetos

— Josh Brower
source

Hmm. Ne faites jamais confiance aux gars de la sécurité! Ma conjecture: quelqu'un a décidé d'attaquer HTTPS en retournant les horloges sur les certificats expirés. Il peut même y avoir une attaque basée sur le temps dans les listes de révocation.

— jldugger

1

Hé, je ressemble à cette remarque! :)

— Josh Brower

1

Il ne semble pas y avoir de problème avec le serveur. De toute évidence, les administrateurs de serveur sont complètement fous, mais je considère cela comme un bonus! :) Je suis maintenant un grand fan de gordo.foofus.net-attacks.mp3

1

C'est un excellent point, Jeff. Je pense que pool.ntp.org est une excellente ressource et aide généralement Internet de différentes manières que vous avez notées dans l'épisode 52.

Cela dit, il est intéressant pour moi que n'importe qui, n'importe où, puisse injecter un serveur dans le pool NTP. D'un point de vue contradictoire, cela a un impact potentiel. D'un point de vue architectural, je pense que la façon dont la piscine est construite peut minimiser l'impact.

Cependant, si un adversaire utilise un certain type d'attaque d'empoisonnement du cache DNS pour déplacer les synchronisations NTP d'un réseau vers leur serveur malveillant, cela pourrait devenir intéressant. Il existe de nombreux autres scénarios d'attaque auxquels je peux penser.

— dr.pooter
source

1

Vous devez vous assurer que vous utilisez la zone géographique la plus spécifique qui correspond à votre emplacement et qui est proposée sur ntp.org.

Par exemple, il existe un us.pool.ntp.org qui retournera toujours un serveur de temps aux États-Unis. Il existe d'autres pools géographiques dans le monde.

Cela garantit que vous ne recevrez pas de serveur de temps à l'autre bout du monde lorsqu'un serveur parfaitement bon et plus précis pourrait se trouver dans votre arrière-cour.

Cela a également été discuté dans un autre thread sur Server Fault

— Richard West
source

0

Le fonctionnement de pool.ntp.org est que les recherches DNS pour les serveurs de temps redirigent vers un membre (sélectionné au hasard) du pool. Chaque serveur qui se trouve dans le pool aura son propre nom, et si vous effectuez une recherche DNS inversée sur son adresse IP, vous obtiendrez son vrai nom, pas le nom du pool avec lequel vous avez commencé.

Peut-être qu'un exemple aidera:

$ nslookup pool.ntp.org
Non-authoritative answer:
Name:    pool.ntp.org
Address: 83.133.127.245
Name:    pool.ntp.org
Address: 217.25.36.102

$ nslookup 83.133.127.245
Non-authoritative answer:
245.127.133.83.in-addr.arpa     name = wikisquare.de.

$ randy@hex:~$ nslookup
Non-authoritative answer:
102.36.25.217.in-addr.arpa      name = orbit.infidyne.com.

— Randy Orrison
source