NTP時間協議概述

NTP協議

一、簡介

　　1、作用：

　　NTP是從時間協議（Time Protocol）和ICMP時間戳報文（ICMP TimeStamp Message）演變而來，在准確性和健壯性方面進行了特殊的設計，理論上精確可達十億分之一秒。

　　NTP協議應用於分布式時間服務器和客戶端之間，實現客戶端和服務端的時間同步，從而使網絡內所有設備的時鍾基本保持一致。

　　NTP協議是基於UDP進行傳輸的，使用端口號為123。

　　2、特征

　　NTP提供了准確時間，首先要有准確的時間來源，這一時間應該是國際標准時間UTC。 NTP獲得UTC的時間來源可以是原子鍾、天文台、衛星，也可以從Internet上獲取。這樣就有了准確而可靠的時間源。時間按NTP服務器的等級傳播。按照離外部UTC 源的遠近將所有服務器歸入不同的Stratum（層）中。Stratum-1在頂層，有外部UTC接入，而Stratum-2則從Stratum-1獲取時間，Stratum-3從Stratum-2獲取時間，以此類推，但Stratum層的總數限制在15以內。所有這些服務器在邏輯上形成階梯式的架構相互連接，而Stratum-1的時間服務器是整個系統的基礎。

　　計算機主機一般同多個時間服務器連接， 利用統計學的算法過濾來自不同服務器的時間，以選擇最佳的路徑和來源來校正主機時間。即使主機在長時間無法與某一時間服務器相聯系的情況下，NTP服務依然有效運轉。

　　為防止對時間服務器的惡意破壞，NTP使用了識別(Authentication)機制，檢查來對時的信息是否是真正來自所宣稱的服務器並檢查資料的返回路徑，以提供對抗干擾的保護機制。

二、報文

　　1、報文格式

 

 　　2、報文字段

字段名	長度	含義
LI（Leap Indicator）	2比特	表示NTP時間標尺中將要插入的嚇一跳情況。 值為11時表示告警狀態，時鍾不能被同步。
VN（Version Number）	3比特	NTP版本號。
Mode	3比特	NTP的工作模式。 Mode為0：reserved，保留。 Mode為1：symmetric active，主動對等體模式。 Mode為2：symmetric passive，被動對等體模式。 Mode為3：client，客戶模式。 Mode為4：server，服務器模式。 Mode為5：broadcast，廣播模式。 Mode為6：reserved for NTP control message，NTP控制報文。 Mode為7：reserved for private use，內部使用預留。
Stratum	8比特	時鍾的層數，定義了時鍾的准確度。 層數為1的時鍾准確度最高，從1到15依次遞減。
Poll Interval	8比特	輪詢時間，即發送報文的最小間隔時間。
Precision	8比特	時鍾的精度。
Root Delay	32比特	到主參考時鍾的總往返延遲時間。
Reference Identifier	32比特	標識特定參考時鍾。
Reference Timestamp	64比特	本地時鍾最后一次被設定或更新的時間，如果值為0表示本地時鍾從未被同步過。
Originate Timestamp	64比特	NTP報文離開源端時的本地時間。
Receive Timestamp	64比特	NTP報文到達目的端的本地時間。
Transmit Timestamp	64比特	目的端應答報文離開服務器端的本地時間。
Root Dispersion	32比特	本地時鍾相對主參考時鍾的最大誤差。
Authenticator	96比特	（可選）驗證信息。

三、安全問題

　　可導致Windows拒絕服務

　　漏洞能夠導致NTP守護進程崩潰，並且觸發Windows系統拒絕服務。 “漏洞能夠讓未授權的用戶用構造好的UDP包是的ntpd崩潰，導致空指針引用。” Stubman在周一的公告中寫道。 “根據NTP.org，ntpd沒有默認開啟trap服務，如果trap被開啟，攻擊者就能通過特別構造的數據包導致空指針引、ntpd崩潰，進而導致服務器拒絕服務。這個漏洞只影響Windows服務器。”卡內基梅隆大學軟件工程學院CERT發布的漏洞記錄VU#633847中寫道。 Stubman發布了針對這一漏洞的PoC。理論上來說任何人都可以通過構造數據包來使Windows服務器崩潰。 “NTP用戶應該立即采取行動保證NTP守護進程無法遭攻擊。用戶們可以趁此機會通過BCP38部署Ingress和Egress過濾。ntp-4.2.8p9已於11月21日發布，新版本修復了1個高危漏洞，2個中危漏洞，2個中低危漏洞和5個低危漏洞，還修復了28個bug和其他一些改進。”

四、參考資源

www.w3cschool.cn