NTP (1)
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/01/29(日) 16:37:27リンクなどは>>2以降で
0378名無しさん@お腹いっぱい。
2010/11/24(水) 17:43:520379名無しさん@お腹いっぱい。
2010/11/24(水) 21:00:23引けた複数のIPアドレスに対して、
わざわざUDP socketを作成し、
そのIPアドレスに空connect()して、
getsockname()で自分のソースIPアドレスを求めている。
UDPの場合、connect()だけ実行してもパケットは飛ばないので
こういう方法もあるんだな。
でも、わざわざsocket()をIPアドレスの分だけ実行するのって何か無駄な感じ。
0380名無しさん@お腹いっぱい。
2010/11/24(水) 21:18:38探すという手順を踏まなきゃならんぞ。
カーネルに任せるのは賢い方法だと思うが。
0381名無しさん@お腹いっぱい。
2010/11/24(水) 22:19:41プリフィックスが近いなんて大した意味はなさそうだ。
つーわけで>>377に同意する、見てるんだろ?>関係者
0382名無しさん@お腹いっぱい。
2010/11/24(水) 22:34:400383名無しさん@お腹いっぱい。
2010/11/24(水) 23:10:310384名無しさん@お腹いっぱい。
2010/11/25(木) 22:29:41ちょww
210.171.226〜の方に収容してるからディレイが少ないとかそんな感じじゃなかった?w
0385名無しさん@お腹いっぱい。
2011/01/23(日) 12:05:220386名無しさん@お腹いっぱい。
2011/01/23(日) 12:27:490387名無しさん@お腹いっぱい。
2011/01/23(日) 14:36:20ntpdが異常終了しちゃったぞ。なんで?
0388名無しさん@お腹いっぱい。
2011/01/23(日) 16:56:480389名無しさん@お腹いっぱい。
2011/01/23(日) 17:05:210390名無しさん@お腹いっぱい。
2011/01/23(日) 17:11:520391名無しさん@お腹いっぱい。
2011/01/23(日) 17:31:000392名無しさん@お腹いっぱい。
2011/01/23(日) 17:33:48とりあえずプロバのNTPに退避
銀河美少年を録りそこねるとこだったわ
0393名無しさん@お腹いっぱい。
2011/01/23(日) 17:51:2312頃に一度なおって。またおかしくなった。
0394名無しさん@お腹いっぱい。
2011/01/23(日) 18:56:150395名無しさん@お腹いっぱい。
2011/01/23(日) 22:51:46同期する相手の対象から外されていた人が勝ち組。
0396名無しさん@お腹いっぱい。
2011/01/24(月) 09:58:59ヒソヒソ( ゚д゚)ヤダァ(゚д゚ )ネェ、キイタ?( ゚д゚)オクサン(゚д゚ )アラヤダワァ
http://jjy.nict.go.jp/
> 障害情報とお詫び
> 2011年1月23日にIX系において2回誤った時刻が送出されました。
> 一回目
> 10時19分15秒〜12時17分55秒
> 二回目
> 16時17分55秒〜17時19分06秒
> いずれも停電に伴う機器の誤動作によるものと思われますが、原因は
> 現在調査中です。 原因が解明できるまでIX系の運用を停止いたします。
> 利用者の皆様には大変ご迷惑をおかけいたしました。深くお詫び申しあげます。
0397名無しさん@お腹いっぱい。
2011/01/24(月) 12:53:100398名無しさん@お腹いっぱい。
2011/01/24(月) 13:13:37もちろん、getaddrinfo()がDNSラウンドロビンを無視して210.171.226.40に1局集中アクセスします(笑)
0399名無しさん@お腹いっぱい。
2011/01/24(月) 13:18:570400名無しさん@お腹いっぱい。
2011/01/24(月) 14:07:220401名無しさん@お腹いっぱい。
2011/01/24(月) 14:18:130402名無しさん@お腹いっぱい。
2011/01/25(火) 00:27:410403名無しさん@お腹いっぱい。
2011/01/25(火) 00:47:53ntpdateしてみたら、ヒドすぎて噴いたww
0404名無しさん@お腹いっぱい。
2011/01/26(水) 02:06:020405名無しさん@お腹いっぱい。
2011/01/26(水) 08:49:390406名無しさん@お腹いっぱい。
2011/01/26(水) 09:12:340407名無しさん@お腹いっぱい。
2011/01/26(水) 10:27:170408名無しさん@お腹いっぱい。
2011/01/26(水) 13:42:480409名無しさん@お腹いっぱい。
2011/01/26(水) 13:53:55って指摘あるけど、ntpdの起動スクリプトで先にntpdateを実行するように
なってるから、ntpdateの段階でいくらずれていても強制追従するんだよな。
たまたま問題の時間にホストを起動した場合とか、
ntpdの同期が外れているのに気づいてntpdをリスタートした場合に
時刻が大きくずれるのは防げなかったはず。
0410名無しさん@お腹いっぱい。
2011/01/26(水) 14:17:070411名無しさん@お腹いっぱい。
2011/01/26(水) 15:14:080412名無しさん@お腹いっぱい。
2011/01/26(水) 16:17:52ntpdを起動したときのバーストモードで十分だろ。
>>411
意外にnictより先にmfeedの準備が整うとmfeedを使い始めたりもする。
mfeedは時間あたりパケット数を聞いたことが無いからmfeedはiburstを付けて
さっさと同期するようにしてる。
0413名無しさん@お腹いっぱい。
2011/01/26(水) 16:31:41iburstでもずれ過ぎのサーバーに強制セットされるから問題は同じだよ
0414名無しさん@お腹いっぱい。
2011/01/26(水) 16:40:54>起動スクリプトでobsoleteなntpdateを使ってるなんてどこのクソLinuxなんだ?w
FreeBSD8.1ですが、なにか?
0415名無しさん@お腹いっぱい。
2011/01/26(水) 16:52:54「FreeBSD8.1が使っている」んじゃなくて「>>414がFreeBSD8.1で使っている」が正しい。
0416名無しさん@お腹いっぱい。
2011/01/26(水) 17:03:47-g 付けたらntpdateと一緒の問題が発生するだろw -g 外さなきゃ。
0417名無しさん@お腹いっぱい。
2011/01/26(水) 17:15:53話の流れ読もうね。
起動時にクロックが大きくずれているマシンだからntpdateが必要。
でも、それはntpd -gでOKという話。
0418名無しさん@お腹いっぱい。
2011/01/26(水) 17:18:56で、ntpdateであろうが ntpd -g であろうが問題が発生するだろw
話の流れはこっちなんだがw
0419名無しさん@お腹いっぱい。
2011/01/26(水) 17:20:27ntpd -g じゃ解決にならんでしょ。
0420名無しさん@お腹いっぱい。
2011/01/26(水) 19:00:16> 起動スクリプトでobsoleteなntpdateを使ってるなんてどこのクソLinuxなんだ
の話だよ。でも>>414はうそつき。6年も前にnptd -gに変更されている。
http://www.freebsd.org/cgi/cvsweb.cgi/src/etc/rc.d/ntpd
Revision 1.9: download - view: text, markup, annotated - select for diffs
Tue Sep 14 03:01:38 2004 UTC (6 years, 4 months ago) by seanc
Branches: MAIN
Diff to: previous 1.8: preferred, colored
Changes since revision 1.8: +5 -0 lines
Stop using ntpdate(1) in our startup proceedure. Replace ntpdate(1) with
calls to ntpd -g. ntpd is noticably slower than ntpdate, but is also more
accurate. This removes the nasty hackery in rc.d/ntpdate that would parse
out ntp servers from /etc/ntp.conf (ntpd knows how to read its own config
file). By default, ntpd *will* sync with its listed time servers. To
turn this off so that ntpd does not sync, ntpd_sync_on_start="NO" can be
added to /etc/rc.conf. If ntpd is not enabled (the default), then time is
not synced on startup. ntpdate's use has been depreciated by the ntpd
authors for quite some time so this change shouldn't be unexpected.
0421名無しさん@お腹いっぱい。
2011/01/26(水) 19:16:280422名無しさん@お腹いっぱい。
2011/01/26(水) 19:33:28年単位でずれてるんだから、オプショナルで-gを追加せざるを得ない。
FreeBSDの場合はこう。
http://www.freebsd.org/cgi/cvsweb.cgi/src/etc/rc.d/ntpd?rev=1.17;content-type=text%2Fplain
if checkyesno ntpd_sync_on_start; then
rc_flags="-g $rc_flags"
fi
だから、今回ようなのはやられる場合がある。
0423名無しさん@お腹いっぱい。
2011/01/27(木) 06:09:530424名無しさん@お腹いっぱい。
2011/02/01(火) 02:45:38高確率でsettimeofdayで時刻がリセットされる。
ところがdovecotのように時刻が逆戻りしたことを検知するとエラーを吐いて死ぬ
デーモンもいるもんだから、
@ntpdateコマンドを使って時刻を直ちに同期
Antpdを起動(ntpdが動いてる間はntpdateは実行できないからこの順番)
B時計に厳しいその他のデーモンを起動
Fedora11はこんな起動シーケンスになってるぞ。RHEL5もそうだったと思う。
0425名無しさん@お腹いっぱい。
2011/02/01(火) 06:52:27/etc/init.d/ntpdには確かにntpdateの記述もあるけど、
これはif文で場合分けされていて、
/etc/sysconfig/ntpdにそれ用のオプションを記述してない限り
ntpdateは起動されないよ。
その代わり、ntpd -gで起動される。
-gで、ntpd起動時に限り即時に時刻がセットされるから、
効果はntpdateと同じ。
0426名無しさん@お腹いっぱい。
2011/02/01(火) 07:02:26SYNOPSIS
ntpdate [-46bBdoqsuv] [-a key] [-e authdelay] [-k keyfile] [-o version]
[-p samples] [-t timeout] server ...
DESCRIPTION
Note: The functionality of this program is now available in the ntpd(8)
program. See the -q command line option in the ntpd(8) page. After a
suitable period of mourning, the ntpdate utility is to be retired from
this distribution.
0427名無しさん@お腹いっぱい。
2011/02/01(火) 12:39:37ntpdateもそれはそれで便利だし、このまま結局消えないに1票。
0428名無しさん@お腹いっぱい。
2011/02/01(火) 14:26:18ntpdateの方はまだ習慣で使っちゃってるなぁ
0429名無しさん@お腹いっぱい。
2011/02/03(木) 23:33:38そいつらを相互に同期させておけば嘘時計が混ざってもすぐ発見できるし、
ローカル内の時刻の同期は保たれると思うけど、そういう設定はどう書くの?
0430名無しさん@お腹いっぱい。
2011/02/04(金) 00:15:50トンネルを介してるから相当ディレイがあるかと思ったら
意外にも1ミリ秒ほど早いw
0431名無しさん@お腹いっぱい。
2011/02/04(金) 09:17:250432名無しさん@お腹いっぱい。
2011/02/04(金) 13:02:22例えばローカルにサーバが3台あるなら、以下のように書けばOK
ローカルのNTPサーバがそれぞれ異なるNTPサーバを参照して、
ローカル同士では相互に時刻を参照しあう。
#サーバ1
server ntp1.jst.mfeed.ac.jp
peer localserver2.example.jp
peer localserver3.example.jp
#サーバ2
server ntp2.jst.mfeeed.ad.jp
peer localserver1.example.jp
peer localserver3.example.jp
#サーバ3
server ntp3.jst.mfeed.ad.jp
peer localserver1.example.jp
peer localserver2.example.jp
0433名無しさん@お腹いっぱい。
2011/02/04(金) 16:19:56ありがとうございます。
peerがポイントですね?
>>431
パケットが往復する時間かな?
0434名無しさん@お腹いっぱい。
2011/02/04(金) 16:48:340435名無しさん@お腹いっぱい。
2011/02/13(日) 04:38:430436名無しさん@お腹いっぱい。
2011/02/13(日) 06:13:29ttp://web.archive.org/web/20060822040313/http://tips.kajiki.com/adjtmbyradio/
0437名無しさん@お腹いっぱい。
2011/02/13(日) 08:26:55残念ながらプログラムはftpで配布されてたようで、IAに残っていない。
0438名無しさん@お腹いっぱい。
2011/02/13(日) 23:17:35ありがとうございます。
0439名無しさん@お腹いっぱい。
2011/05/04(水) 16:29:08.00の意味がマニュアル見てもぜんぜん分からないので、
だれかお母さんみたくやさしく根気強く教えてください
0440名無しさん@お腹いっぱい。
2011/05/04(水) 19:47:26.090441名無しさん@お腹いっぱい。
2011/05/08(日) 17:31:18.230442名無しさん@お腹いっぱい。
2011/05/08(日) 19:45:50.78可哀想に…生まれてから虐待ばかりで親身に接してくれなかったんだな
0443名無しさん@お腹いっぱい。
2011/05/14(土) 17:26:30.80それなりに正しく保ちたいとき、ふつうにNTP使っても
うまくいかないですよね。(途中で死ぬ)
こういうとき、うまくやる方法としては何がありますか?
0444名無しさん@お腹いっぱい。
2011/05/14(土) 17:52:58.43人間は世界中で10人に満たないだろうから、世界で1人だけのデバッガーになる
可能性が高い。まず、捨てることを考えた方が良い。
もしかして、emacsスレにいたイジメにあってる人?
0445名無しさん@お腹いっぱい。
2011/05/14(土) 17:54:44.140446名無しさん@お腹いっぱい。
2011/05/14(土) 18:30:41.70まあいわゆるVMがらみなんですけどね
emacsは使わないから知らん
>>445
愛が足りないだろ
0447名無しさん@お腹いっぱい。
2011/05/14(土) 18:44:41.16VMWareで時刻がずれまくるってやつだろ?
@vmware-toolsでどうにかならないか?
Aマシン本体のBIOSの設定でEISTまたはSpeedStepを無効化。
あと最新型でTurboBoostがある場合はコレも無効化。
要するにCPUクロック周波数を固定化する。
0448名無しさん@お腹いっぱい。
2011/05/14(土) 19:43:08.08クロックは落としたいし。
Emacs スレのいじめられてる人ワロタw
0449名無しさん@お腹いっぱい。
2011/05/14(土) 19:49:33.72ずれないqemu
0450名無しさん@お腹いっぱい。
2011/05/14(土) 19:58:26.49VirtualBoxなんだけど、3分おきくらいにしか修正してくれないんだ
周波数も固定してんだけどまあずれることずれること
>>449
VBoxってqemuがベースになってるはずなのにね
どうしてこんなことに・・・
0451名無しさん@お腹いっぱい。
2011/05/14(土) 21:08:00.54WindowsでもGuestaddtionがよきにはからってくれるはず。
こんな記述があるな。
http://www.virtualbox.org/manual/ch09.html#changetimesync
0452名無しさん@お腹いっぱい。
2011/05/14(土) 22:43:47.34adjtimexでKernel Timeとのずれを調整する、ってのが定番だった。
一定の割合でずれていく場合に有効なので、VMに適用できるかどうかわからないけど。
0453名無しさん@お腹いっぱい。
2011/05/15(日) 19:45:54.990454名無しさん@お腹いっぱい。
2011/05/15(日) 20:48:32.37時計の針を進めることはできる
0455名無しさん@お腹いっぱい。
2011/05/16(月) 20:03:44.64ゲンドウさんみたいで格好いいな
0456名無しさん@お腹いっぱい。
2011/05/17(火) 08:42:40.32http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1006427
カーネルパラメーターで解決できるかも。
VMware用だけど、Virtualboxでも多分うまくいく。
0457名無しさん@お腹いっぱい。
2011/05/17(火) 16:51:41.26Drift が 500PPM を超えている場合は tickadj コマンドを使う(非推奨)
http://www.eecis.udel.edu/~mills/ntp/html/tickadj.html
あるいは文書化されていないが ntp_tick_adj というカーネルパラメーター
を用いても同様のことができる
http://lxr.linux.no/linux+v2.6.38/kernel/time/ntp.c#L950
てゆうかそもそも linux の時刻管理機能は絶望的にぶっ壊れてるから
メンテナを更迭してゼロから作り直さない限りどうしようもないと思う
http://lists.ntp.org/pipermail/bugs/2009-November/010837.html
>David L. Mills wrote:
>I have no interest in Linux stupidity other than to recommend they
>learn form FreeBSD, who have got it rightr. You should tell them that.
0458名無しさん@お腹いっぱい。
2011/05/17(火) 17:30:31.53どっかに計算式があった気がするが忘れたな・・・
0459名無しさん@お腹いっぱい。
2011/05/17(火) 21:12:27.35これでNTPデーモン動かしてちゃんと動作してくれるかな・・・
0460名無しさん@お腹いっぱい。
2011/05/17(火) 21:26:11.47500ppm = 0.05% だから無理だろうね
0462名無しさん@お腹いっぱい。
2011/06/01(水) 19:54:45.790463名無しさん@お腹いっぱい。
2011/06/19(日) 16:08:34.71やってきたらデタラメな時刻に変更されちゃうの?
いちおう公開鍵認証のしくみもあるみたいだけど、mfeed とか nict とかでは
使えないから意味ないよね? 認証なしでもある程度は防げたりとかしないの?
0464名無しさん@お腹いっぱい。
2011/06/20(月) 01:13:48.07試しにNICTと同期した時のパケットをキャプチャしてみたけど、
一応NTPサーバの応答電文中に「Reference Clock ID」なる
フィールドがあって、このフィールドにASCII4文字でNICTと
書いてある。でもいくらでも詐称できそうだ。
不安ならntpdateを定周期で実行し、ntpdateの起動前後にUDP123
をブロックするiptablesルールを上げ下げするとか。これで攻撃が
成功するのはntpddateが実行されているごく短時間だけになる。
またはデータセンターとかで予算もあるならGPS衛星や電波時計を
タイムソースに使うNTP専用サーバーマシンもある。
GPSベースのNTPタイムソースはUSB接続のGPSアンテナとLinux
用ドライバのソースとC言語の知識があれば個人で作ることも不可能
ではない。「USB GPS」で検索するとデバイス自体は5000円位で手に
入るようだ。
0465名無しさん@お腹いっぱい。
2011/06/20(月) 02:03:13.22少なくとも2つか3つのサーバの時刻を参照していればいいんじゃないの?
0466名無しさん@お腹いっぱい。
2011/06/20(月) 10:52:18.85そうすれば、16bitの乱数を一致させなきゃ嘘時刻を注入できない。
問い合わせのソースポートが123じゃなきゃダメなんてルールはないよね?
ダメならNAPTの裏にいるホストからNTPが使えないし。
0467名無しさん@お腹いっぱい。
2011/06/20(月) 11:07:08.13123以外からのパケットを蹴れるんだな……。
port randomizationすると、サーバの設定によってはダメってことか。
0468名無しさん@お腹いっぱい。
2011/06/20(月) 12:00:03.350469名無しさん@お腹いっぱい。
2011/06/20(月) 12:40:22.950470名無しさん@お腹いっぱい。
2011/06/20(月) 19:47:31.700471名無しさん@お腹いっぱい。
2011/06/20(月) 23:53:00.260472名無しさん@お腹いっぱい。
2011/06/21(火) 00:28:11.00ただし、まともな ISP では詐称パケットがネットワークをまたいで
よそに出ていかないようなフィルタをかけてることが多い。
0473名無しさん@お腹いっぱい。
2011/06/21(火) 04:16:29.17時刻を取得する相手をすべて把握してその相手へのリクエストが行われたあとに
その相手のレスポンスよりも先に嘘時刻を叩き込むということをすべての相手に対して行う。
しかもその嘘時刻は嘘時刻と認識されないギリギリのズレでなければならない。
とか。地味過ぎる。
0474名無しさん@お腹いっぱい。
2011/06/21(火) 06:18:45.72攻撃側のメリットって何があるんだろう
時刻が飛ばないんだから、ログを誤魔化すには至らないよな
時間制限物を引き延ばすにしても誤差レベルでしかないし。
0475名無しさん@お腹いっぱい。
2011/06/21(火) 08:55:57.49そのサーバが100msくらいズレた時刻を返してるように見えてたけど、
そのレベルでもう嘘時計扱いになってたよ?
だから少なくともそれ以下にずれた嘘時刻を256秒とか512秒とか1024秒ごとに
ターゲットに喰わせないといけない。
ほんと手間の割に得られるものが少ないよね?
0476名無しさん@お腹いっぱい。
2011/06/21(火) 20:18:03.07認証できないメカニズムを破綻させることくらいだろうな。たしかKerberos5は15分
以上のずれがあると暗号がかみ合わずに認証失敗する仕様だったろ?
たとえばWindowsのActiveDirectory認証とかで認証サーバーにうその時刻を教え
込むと、あわよくばドメインの機能を停止させられるかもしれない。
0477名無しさん@お腹いっぱい。
2011/06/21(火) 23:38:05.14ntpd自体の脆弱性を狙うほうが現実的だろうな
■ このスレッドは過去ログ倉庫に格納されています