Open NTP server 的問題

  • Open NTP server 指伺服器(或資訊設備)對外公開且不限使用對象提供 NTP 網路對時服務,可能產生以下問題:
  1. 暴露於外界,容易被攻擊或平白損耗系統及網路資源
  2. 容易被外界利用,成為發動 DDoS 網路攻擊的一員
  • 關於利用 NTP 的反射放大攻擊(reflection and amplification attack),請參閱此連結 NTP amplification attack

{{wiki:new.png}}為防治 open NTP server 問題,協助處理校園內電腦或資訊設備,因設定不慎而可能遭攻擊者利用來發動網路攻擊,故本組建置 open NTP server 偵測系統,並將偵測結果提供各單位網管,以便轉知其使用者參考建議作法來修正設定及自行檢測問題是否解決,藉以減少本校網路內 open NTP server 的數量。

最近七天內偵測結果

  • {{wiki:notice.png}} 若已存在本清單的 IP 地址,至少需等待至隔日系統重新偵測,通過後時才會移除
更新時間:Fri May 24 16:45:03 2019 Asia/Taipei
序號單位IP 位址偵測時間備註
1人社院140.114.111.xxx2019/05/24 14:14:11
2人社院140.114.112.xxx2019/05/24 13:56:46
3人社院140.114.113.xxx2019/05/24 10:54:22
4人社院140.114.114.xxx2019/05/24 11:14:39
5人社院140.114.115.xxx2019/05/23 07:53:33
6人社院140.114.116.xxx2019/05/23 08:08:40
7人社院140.114.117.xxx2019/05/24 01:55:31
8人社院140.114.118.xxx2019/05/24 05:49:10
9人社院140.114.119.xxx2019/05/23 08:04:36
10人社院140.114.150.xxx2019/05/24 02:56:13
1工科系140.114.108.xxx2019/05/24 11:24:25
2工科系140.114.108.xxx2019/05/24 07:42:14
3工科系140.114.108.xxx2019/05/23 08:03:24
4工科系140.114.108.xxx2019/05/23 08:04:30
1化工系140.114.46.xxx2019/05/24 04:06:51
2化工系140.114.47.xxx2019/05/24 06:23:41
3化工系140.114.129.xxx2019/05/24 06:04:51
1反應器/同位素組140.114.102.xxx2019/05/24 04:19:50
1天文所140.114.94.xxx2019/05/24 06:54:07
2天文所140.114.94.xxx2019/05/24 10:29:35
1物理系140.114.80.xxx2019/05/24 05:05:36
2物理系140.114.80.xxx2019/05/24 03:00:02
3物理系140.114.80.xxx2019/05/24 03:56:47
4物理系140.114.80.xxx2019/05/24 04:09:15
5物理系140.114.80.xxx2019/05/24 03:21:39
6物理系140.114.80.xxx2019/05/24 01:28:20
7物理系140.114.80.xxx2019/05/24 02:12:12
8物理系140.114.80.xxx2019/05/24 05:12:27
9物理系140.114.80.xxx2019/05/24 05:03:35
10物理系140.114.82.xxx2019/05/24 03:56:47
11物理系140.114.82.xxx2019/05/24 01:05:30
12物理系140.114.82.xxx2019/05/24 01:05:30
13物理系140.114.82.xxx2019/05/24 02:11:57
14物理系140.114.82.xxx2019/05/24 03:29:41
15物理系140.114.82.xxx2019/05/24 12:50:08
16物理系140.114.82.xxx2019/05/24 10:32:02
17物理系140.114.127.xxx2019/05/24 06:54:12
1計通中心-行政網路電話140.114.8.xxx2019/05/24 02:08:24
1計通中心-校務資訊組140.114.70.xxx2019/05/24 07:26:57隔日更新
1計通中心-無線區域網路140.114.5.xxx2019/05/24 02:30:48
2計通中心-無線區域網路140.114.5.xxx2019/05/24 10:18:33
3計通中心-無線區域網路140.114.6.xxx2019/05/24 09:30:53
4計通中心-無線區域網路140.114.7.xxx2019/05/24 04:08:45
5計通中心-無線區域網路140.114.9.xxx2019/05/24 07:40:07
6計通中心-無線區域網路140.114.10.xxx2019/05/24 07:02:27
1計通中心-網路系統組140.114.63.xxx2019/05/24 05:48:34隔日更新
1計通中心/Computer and Communication Center140.114.0.xxx2019/05/24 00:55:38
2計通中心/Computer and Communication Center140.114.0.xxx2019/05/24 05:22:46
3計通中心/Computer and Communication Center140.114.0.xxx2019/05/24 04:00:27
4計通中心/Computer and Communication Center140.114.0.xxx2019/05/24 07:34:26
5計通中心/Computer and Communication Center140.114.2.xxx2019/05/24 09:55:57
6計通中心/Computer and Communication Center140.114.2.xxx2019/05/24 03:00:03隔日更新
7計通中心/Computer and Communication Center140.114.2.xxx2019/05/23 07:51:51隔日更新
8計通中心/Computer and Communication Center140.114.2.xxx2019/05/24 09:29:03
9計通中心/Computer and Communication Center140.114.2.xxx2019/05/24 09:14:40
10計通中心/Computer and Communication Center140.114.2.xxx2019/05/23 08:09:20
11計通中心/Computer and Communication Center140.114.2.xxx2019/05/24 04:50:50
1核工所140.114.122.xxx2019/05/24 08:21:13
2核工所140.114.122.xxx2019/05/23 08:13:24
3核工所140.114.122.xxx2019/05/24 10:32:37
4核工所140.114.122.xxx2019/05/24 04:09:36
1理論中心140.114.81.xxx2019/05/24 05:52:18
1理論中心-物理組140.114.83.xxx2019/05/24 09:28:58
1產學合作營運總中心(創新育成大樓)140.114.37.xxx2019/05/24 08:33:30
1資工系140.114.71.xxx2019/05/24 01:29:21隔日更新
2資工系140.114.71.xxx2019/05/24 02:09:10隔日更新
3資工系140.114.71.xxx2019/05/24 06:22:20隔日更新
4資工系140.114.75.xxx2019/05/24 01:24:47
5資工系140.114.75.xxx2019/05/24 04:50:45
6資工系140.114.75.xxx2019/05/23 08:13:30
7資工系140.114.76.xxx2019/05/24 10:51:40
8資工系140.114.76.xxx2019/05/24 05:43:24
9資工系140.114.77.xxx2019/05/24 10:12:39
10資工系140.114.78.xxx2019/05/24 07:02:32
11資工系140.114.78.xxx2019/05/23 07:52:52
12資工系140.114.79.xxx2019/05/24 10:46:01
13資工系140.114.79.xxx2019/05/24 08:33:10
14資工系140.114.85.xxx2019/05/24 04:26:32
15資工系140.114.85.xxx2019/05/23 08:00:25
16資工系140.114.86.xxx2019/05/24 08:48:22
17資工系140.114.86.xxx2019/05/23 08:03:55
18資工系140.114.87.xxx2019/05/24 03:07:23
19資工系140.114.87.xxx2019/05/24 13:54:40
20資工系140.114.87.xxx2019/05/24 04:20:56
21資工系140.114.87.xxx2019/05/24 02:46:31
22資工系140.114.87.xxx2019/05/24 06:13:51
23資工系140.114.88.xxx2019/05/24 02:39:38
24資工系140.114.88.xxx2019/05/24 10:04:55
25資工系140.114.89.xxx2019/05/24 05:22:25
26資工系140.114.89.xxx2019/05/24 09:08:12
27資工系140.114.89.xxx2019/05/24 06:37:32
28資工系140.114.91.xxx2019/05/24 08:54:35
1電通中心140.114.90.xxx2019/05/24 03:46:10隔日更新
2電通中心140.114.90.xxx2019/05/24 03:12:02隔日更新
1課指組-活動中心140.114.186.xxx2019/05/24 02:15:00
1駐警隊140.114.185.xxx2019/05/24 10:38:01
1醫輔中心140.114.42.xxx2019/05/24 07:19:57
總計摘 97 筆記錄

{{wiki:new.png}}為方便本校使用者自行檢測其電腦或網路設備是否具有 open NTP server 的問題,特建置此即時的檢測服務,目前限由本校 IP 位址來進行檢測。(2019/05/14上線試用)

檢測 open NTP server IP 位址: . . .  
  • {{wiki:notice.png}}檢測前請先確認目標 IP 位址的電腦或設備狀態為開機且網路連線正常,以免影響檢測結果。

檢測說明

  • 採用 http://openntpproject.org/ 的偵測方法,若有類似以下輸出結果,則表具有 open NTP server 問題
    • 不應回覆 NTP 查詢
      Check open ntp for the target IP 140.114.XX.XX
      Time: Tue May 14 15:06:28 2019
      
      check_open_ntp: 140.114.XX.XX
      check open ntp server with (140.114.XX.XX,,)
      
      Command: (/sbin/ntpq -c rv 140.114.XX.XX; /sbin/ntpdc -n -c monlist 140.114.XX.XX)
      
      STDOUT: 6
       associd=0 status=062c leap_none, sync_ntp, 2 events, clock_step,
       version="4", processor="unknown", system="UNIX", leap=00, stratum=3,
       precision=-10, rootdelay=, rootdisp=, refid=118.163.81.61,
       reftime=e084df98.d4395a58  Tue, May 14 2019 14:32:56.829,
       clock=e084e775.028f5c30  Tue, May 14 2019 15:06:29.010, peer=39323,
       tc=10, mintc=3, offset=, frequency=, sys_jitter=, clk_jitter=,
       clk_wander=
      
      STDERR: 1
      140.114.XX.XX: timed out, nothing received
      ***Request timed out
      
      Is 140.114.XX.XX an open ntp server? 
      ANSWER: YES for 140.114.XX.XX
  • 若類似以下輸出結果,表不具有 open NTP server 問題
    1. 無 NTP 回應,若電腦已開且網路已通,則此機無問題。
      Check open ntp for the target IP 140.114.63.253
      Time: Tue May 14 15:11:28 2019
      
      check_open_ntp: 140.114.63.253
      check open ntp server with (140.114.63.253,,)
      
      Command: (/sbin/ntpq -c rv 140.114.63.253; /sbin/ntpdc -n -c monlist 140.114.63.253)
      
      STDOUT: -1
      
      STDERR: 3
      140.114.63.253: timed out, nothing received
      ***Request timed out
      140.114.63.253: timed out, nothing received
      ***Request timed out
      
      Is 140.114.63.253 an open ntp server? 
      ANSWER: NO for 140.114.63.253

建議作法

  • 以防火牆來限制 NTP 查詢,預設攔阻 123/udp 的封包,再針對開放服務範圍的 IP 位址來開放服務,這種作法效益最好。
  • 常見 NTP 軟體(http://www.ntp.org/) 的設定檔 ntp.conf,以下以例子簡單說明存取控制(access control),如需詳細資料,請自行參閱:https://www.eecis.udel.edu/~mills/ntp/html/accopt.html#restrict
    • 以下這一行設定:預設拒絕所有的查詢
      restrict default ignore
    • 以下這一行設定:許可服務範圍 140.114.0.0/255.255.0.0 的查詢(query),但拒絕其 modify 與 trap
      restrict 140.114.0.0 mask 255.255.0.0 nomodify notrap
    • 完成設定重新啟動 ntpd 服務後,若非服務範圍內對 NTP 伺服器 140.114.xx.xx 送出查詢,就會看到以下回應逾期的訊息。
      # /sbin/ntpq -c rv 140.114.xx.xx
      140.114.xx.xx: timed out, nothing received
      ***Request timed out

{{wiki:notice.png}}有些網路設備(如:無線網路閘道器、IP分享器、或路由器)本身可能具有 open NTP server 問題,需適當調整設定或以防火牆來處理,由於網路設備的類型繁多,若您知悉某裝置該如何處理,歡迎提供設備廠牌、型號、軟(韌)體版本、及其設定方式的畫面,寄至 opr :AT: net.nthu.edu.tw,以利製成以下網頁,嘉惠眾人,格式及文字可參考以下作法,謝謝!

參考資料