X
NTP (1)
0461 忍法帖【Lv=2,xxxP】
垢版 |
2011/05/30(月) 19:33:59.13
そういやJJYで合わせてる時計に異常が出てるという話があるけど
影響出てる人いる?
0463名無しさん@お腹いっぱい。
垢版 |
2011/06/19(日) 16:08:34.71
NTP って UDP だけど、ソースアドレスを詐称されたパケットが(偽)サーバから
やってきたらデタラメな時刻に変更されちゃうの?
いちおう公開鍵認証のしくみもあるみたいだけど、mfeed とか nict とかでは
使えないから意味ないよね? 認証なしでもある程度は防げたりとかしないの?
0464名無しさん@お腹いっぱい。
垢版 |
2011/06/20(月) 01:13:48.07
ソースアドレスを詐称されると完全に防ぐのは無理だろうな。
試しにNICTと同期した時のパケットをキャプチャしてみたけど、
一応NTPサーバの応答電文中に「Reference Clock ID」なる
フィールドがあって、このフィールドにASCII4文字でNICTと
書いてある。でもいくらでも詐称できそうだ。
不安ならntpdateを定周期で実行し、ntpdateの起動前後にUDP123
をブロックするiptablesルールを上げ下げするとか。これで攻撃が
成功するのはntpddateが実行されているごく短時間だけになる。

またはデータセンターとかで予算もあるならGPS衛星や電波時計を
タイムソースに使うNTP専用サーバーマシンもある。
GPSベースのNTPタイムソースはUSB接続のGPSアンテナとLinux
用ドライバのソースとC言語の知識があれば個人で作ることも不可能
ではない。「USB GPS」で検索するとデバイス自体は5000円位で手に
入るようだ。
0465名無しさん@お腹いっぱい。
垢版 |
2011/06/20(月) 02:03:13.22
ズレてる時計は嘘時計として撥ねる機能があるから、詐称されたパケットを飲まされたくなかったら
少なくとも2つか3つのサーバの時刻を参照していればいいんじゃないの?
0466名無しさん@お腹いっぱい。
垢版 |
2011/06/20(月) 10:52:18.85
DNSでやってるみたいなsource port randomizationってNTPでも使えないかしら。
そうすれば、16bitの乱数を一致させなきゃ嘘時刻を注入できない。
問い合わせのソースポートが123じゃなきゃダメなんてルールはないよね?
ダメならNAPTの裏にいるホストからNTPが使えないし。
0467名無しさん@お腹いっぱい。
垢版 |
2011/06/20(月) 11:07:08.13
man ntp.confしてみたら、restrict ... ntpportと設定することで
123以外からのパケットを蹴れるんだな……。
port randomizationすると、サーバの設定によってはダメってことか。
0472名無しさん@お腹いっぱい。
垢版 |
2011/06/21(火) 00:28:11.00
UDP なら簡単。

ただし、まともな ISP では詐称パケットがネットワークをまたいで
よそに出ていかないようなフィルタをかけてることが多い。
0473名無しさん@お腹いっぱい。
垢版 |
2011/06/21(火) 04:16:29.17
バレずにやるのは非常に難しいと思うけどね。

時刻を取得する相手をすべて把握してその相手へのリクエストが行われたあとに
その相手のレスポンスよりも先に嘘時刻を叩き込むということをすべての相手に対して行う。
しかもその嘘時刻は嘘時刻と認識されないギリギリのズレでなければならない。

とか。地味過ぎる。
0474名無しさん@お腹いっぱい。
垢版 |
2011/06/21(火) 06:18:45.72
仮に少しずつ時刻をずらす攻撃が成功したとして
攻撃側のメリットって何があるんだろう
時刻が飛ばないんだから、ログを誤魔化すには至らないよな
時間制限物を引き延ばすにしても誤差レベルでしかないし。
0475名無しさん@お腹いっぱい。
垢版 |
2011/06/21(火) 08:55:57.49
この前経路か何かの問題でmfeedのIPv6のサーバーのディレイが大きくなってて
そのサーバが100msくらいズレた時刻を返してるように見えてたけど、
そのレベルでもう嘘時計扱いになってたよ?
だから少なくともそれ以下にずれた嘘時刻を256秒とか512秒とか1024秒ごとに
ターゲットに喰わせないといけない。

ほんと手間の割に得られるものが少ないよね?
0476名無しさん@お腹いっぱい。
垢版 |
2011/06/21(火) 20:18:03.07
しいて言えばKerberos5認証みたいに端末とサーバーの時刻が大きくずれると
認証できないメカニズムを破綻させることくらいだろうな。たしかKerberos5は15分
以上のずれがあると暗号がかみ合わずに認証失敗する仕様だったろ?
たとえばWindowsのActiveDirectory認証とかで認証サーバーにうその時刻を教え
込むと、あわよくばドメインの機能を停止させられるかもしれない。
0478名無しさん@お腹いっぱい。
垢版 |
2011/06/21(火) 23:48:22.99
ちょっと話はそれるのですが、nictが配信している時刻は日本標準時間。
その他サーバだと大抵は世界標準時。この2つの実質的な違いは、うるう
秒の丸めタイミングだけという理解で正しいですか?
0480名無しさん@お腹いっぱい。
垢版 |
2011/06/22(水) 21:58:44.69
>>478
全部間違ってる。
NTPサーバはJSTでもUTCでもなくてNTP時間を配信している。
うるう秒は全世界同時に挿入/削除される。
0481名無しさん@お腹いっぱい。
垢版 |
2011/06/25(土) 16:11:11.13
NTP Timeはプロトコル上の時刻表現方法に過ぎなくて、実体はUTCそのものでしょ
NTP Timeという時刻系が運用されてるわけじゃない

ちなみにNICTのNTPサーバは JSTを生成する原子時計を時刻源と
しているから、JSTを配信していると言っても間違いではないと思う
0483名無しさん@お腹いっぱい。
垢版 |
2011/06/25(土) 20:19:03.92
WindowsってUnix系のOSみたくミリ秒のオーダーって合わせてくれないの?
0487名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 01:52:42.20
>>486
NTPの配信時刻にはタイムゾーンは無い。つまり世界協定時ベースの時刻なんだけど、
やっぱりうるう秒の丸めとかのように日本の暦としてあえて世界協定時を外している部分
の扱いが他のNTPサーバと違うんじゃないか?
0491名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 09:01:41.12
NICTが作ってるUTC/TAIと称するものは、あくまでもNICTが所有している
原子時計を計測して決めたUTC/TAIであって本当のUTC/TAIではない。本当の
UTC/TAIは、各国の機関が作ったTAIの加重平均から最終的に求められる。

一方、日本標準時というのは、UTC(本物)+9 ではなく、UTC(NICT)+9という
ことになっている。UTC(本物)とUTC(NICT)の差は 10ns未満になるように調整
されているとはいえ、誰が決定したかという観点では違う。

NICT NTPサーバは、UTC(NICT)を配信しているが、それを機械的に+9すれば
直ちに正確な日本標準時が得られるので(NTPによる誤差は除く)、JSTを配信
していると言っても過言ではないという理屈。実際NICT自身も日本標準時を
配信していると言ってる。
http://www2.nict.go.jp/w/w114/tsp/PubNtp/index.html
0492491
垢版 |
2011/06/26(日) 09:23:50.19
>>490
ここまで厳密な話をすると、UTC(本物)もUTC(NICT)も(UTC(GPS)も)、
差は0ではないので、うるう秒の挿入タイミングも完全に同時ではない
ことになる。
0493名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 09:27:16.07
定義はそうだけど、NTPのソースとして見る場合には
UTC(本物)=UTC(NICT)と考えて差支えないのでは。

ちなみにUTC(本物)ってNICTのような機関向け以外にも配信されてるの?
0495名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 10:14:47.08
>491
他の人も言っているけどもし 10ns レベルの話を気にしているのなら
NW経由ではなんの意味もない違いだし、それどころかPC内部でも
意味を持たないズレというか「観念上の違い」以外の何者でもないよね?
0496491
垢版 |
2011/06/26(日) 10:33:27.13
>>495
観念上の違いというと具体的にそれらを決定しているNICTやBIPMの人に
さすがに失礼かもしれないが、NTPで使う限り問題となる違いはない
というのはその通り。
>>490は「NICTがNTPで配ってるのはJSTではない!」という的外れな
指摘に対してのコメントのつもり。時刻の決定方法や誤差を無視すれば、
UTCもJSTもUNIX TimeもNTP Timeも機械的に相互変換可能なのだから、
NTPがどれを配ってるなんて議論自体が無意味になってくる。
0497名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 11:01:30.19
そういうことを気にするわりに時刻の修正は時間の連続性を失う方法を使ってるんだろ?
ntpdateとか桜時計(爆)とかw
0499名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 15:56:12.58
普通のパソコンの時刻のズレは、まともなOSならば、
時刻のズレを一気に縮めて修正するのではなくて、
NTPを基準にし、じわりじわりと加速するか減速させて、
時間の連続性を維持しようとプログラミングされている。
鯖ならDB上での時間の扱いの不都合を埋め合わせするため。
0500名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 16:07:11.55
けどWindowsってUNIX系のadjtime見たいなAPIが無かったんじゃね?
そもそもUNIX系と違ってWindowsはソフトウエアクロックを持ってないから
HW側がadjtime相当の機能を搭載しない限りクロックの加減速なんて
不可能な気がする。
0501名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 16:21:57.01
ドザではないけど、この時を刻む正確さの課題は、商取引上、重要なので
もしも今の最新OSの機能としてなければ、次期OSから搭載するんでないの?
0502名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 17:22:35.96
>>497
まさにそれを使ってるんだけど、実際どうしたらいいのかな。
NTPだと、1分に1秒狂うような時計は修正できないし
それに対応したNTPソフトがあるならぜひ乗り換えたい。
0503名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 17:52:02.23
MS純正標準装備のW32Timeサービスをw32tmコマンドを使って設定することで
クロックのオフセットみたいな機能が働くという噂。
0505名無しさん@お腹いっぱい。
垢版 |
2011/06/26(日) 18:52:12.67
XPまでならW32timeのレジストリにあるLastClockRateでも一応確認できる
Vista以降ならw32tmコマンドでもクロックレートを表示できる
0506名無しさん@お腹いっぱい。
垢版 |
2011/06/27(月) 01:01:37.39
>>496
NTPタイムスタンプは正のうるう秒とその直後の秒を区別できない。
だから「UTCもJSTもUNIX TimeもNTP Timeも機械的に相互変換可能」
というのは間違い。
0507496
垢版 |
2011/06/27(月) 01:50:44.64
時間に依存しない関数ではNTP TimeとUTCの1対1対応は無理というだけで、
NTP Timeの進みとLIを認識できる関数ならNTP TimeからUTCへの機械的変換は可能。
時刻扱うシステムが、時間依存しない関数しか使えないという仮定はさすがに
無理があるだろう。
0510名無しさん@お腹いっぱい。
垢版 |
2011/06/28(火) 01:31:43.06
NTPにはうるう秒による暦上の秒の追加/削除が実施された前後に、その事実を
示すためのフラグフィールドがあるんだそうな。
このフィールドを見てうるう秒補正が実施された直後だったら1秒前後のズレを
正当な時差とみなす実装が可能だそうだ。
0511名無しさん@お腹いっぱい。
垢版 |
2011/06/28(火) 07:01:49.12
でも leap indicator が LEAP_NOWARNING だったとしても
receive timestamp がうるう秒じゃないとは限らないし、
逆に LEAP_ADDSECOND だったとしても transmit timestamp が
うるう秒だとは限らないよね?
0513名無しさん@お腹いっぱい。
垢版 |
2011/06/28(火) 20:10:25.17
同じか否かよりどのくらい違うかに視点を置いて考えるのが良い
と思うな。いうまでもなくここでNTPや世界協定時のあるべき論を
論じても不毛なわけで。
俺の身の回りに1秒のずれがそれほど致命的になるシステムは
無いから、実世界の暦と1秒以内の精度が保ててシステムクロック
のスキップが発生しないのなら万事OK。
0515名無しさん@お腹いっぱい。
垢版 |
2011/06/28(火) 23:11:42.43
うるう秒が挿入されるのって日本時間だと
ちょうど会社が動き始める時間だからなあ。
12月末とか休日なら大した問題はないだろうけど、平日に実施されると
金融系は何かしらの影響がありそうな気が。
0516名無しさん@お腹いっぱい。
垢版 |
2011/06/28(火) 23:26:49.81
うちの会社で使っているGPSソースのNTPは
2年ほど前の年末にうるう秒があったとき23:59:59が2回入った。
本当ならGPSはうるう秒配信できるんだよね・・・?
0520名無しさん@お腹いっぱい。
垢版 |
2011/07/01(金) 22:08:50.77
ntpq -pの出力が、ときどきringのサーバのところだけ文字化けするんだけど、なんでだろう。
# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp01.so-net.ne 211.10.62.120 2 u 97 256 377 6.003 4.062 2.310
ring.yamanashi. .^?^?^A^A. 16 u 13 1024 0 0.000 0.000 0.000
+ntp1.jst.mfeed. 210.173.160.56 2 u 52 1024 17 8.875 7.471 5.726
0526名無しさん@お腹いっぱい。
垢版 |
2011/07/27(水) 11:46:30.18
ntp.conf で、

server -4 ntp.nict.jp iburst
server -4 ntp.nict.jp iburst
server -4 ntp.nict.jp iburst

って書いておくと、以前は >>520 みたいにサーバが 3 行分出てきていたのに、
今は、

remote refid st t when poll reach delay offset jitter
==============================================================================
ntp-b2.nict.go. .NICT. 1 u 1 64 17 5.365 -174.61 1102.89

って 1 行しか出てこない。なぜ?
0528名無しさん@お腹いっぱい。
垢版 |
2011/07/27(水) 19:05:50.82
>>526ラウンドロビンをしてその途中で同じ名前を他の誰かが引かないことを前提とした書き方で
その名前を3回引いてる最中に他の誰かがその名前を引いたとかそもそもラウンドロビンしてないとかで
うまく引けないことがあるからやめるべき。
0529名無しさん@お腹いっぱい。
垢版 |
2011/07/27(水) 21:29:31.42
ntp.nict.jpの中のホスト名(ntp-b2とかntp-a3とか)は
正式には公表されてないし、変更される可能性もあるから、
個別のホスト名で3台指定するわけにもいかないんだよな。
ましてIPアドレス決め打ちにはできないし。
0532名無しさん@お腹いっぱい。
垢版 |
2011/07/27(水) 22:06:27.70
>>531
IX系とか呼ばれていた 210.171.226.40 のホスト(ホスト名逆引き不可)が、
ntp.nict.jpのラウンドロビンから外されるという「変更」が
半年ほど前にあったばかりだぞ。
0536名無しさん@お腹いっぱい。
垢版 |
2011/08/05(金) 10:13:37.33
仕様として使えないわけではなく、
IP アドレス指定のまま放置されてるホストが大量にあると
うかつに他の用途に使うと混乱を招くってことでしょ。
0539名無しさん@お腹いっぱい。
垢版 |
2011/08/05(金) 14:53:15.68
そもそもそこらじゅうから多量の NTP query が
来ちゃうようなアドレスで他のサービスをやったって
無駄に回線の帯域を食うだけだし
0541名無しさん@お腹いっぱい。
垢版 |
2011/08/06(土) 00:58:30.56
publicじゃなくて社内のprivate LANの話だが、
シスコのルーターでNTPサーバが動いているのを
どっかで聞きつけて勝手に指定した連中がいたらしい。

あるときネットワーク機器変更してNTPの機能無くなったとき、
「時刻合わないぞ何やってんだ!」怒鳴り込んできたやついたわ。
「社内ネットワークのマニュアルには以前からNTPは○○を指定しろ、
って書いていただろ」って叩き返したが。
0543名無しさん@お腹いっぱい。
垢版 |
2011/08/06(土) 20:52:50.82
>>542
俺とか勤怠表毎日書くのが面倒なので、Windowsのイベントログで後から出社、退社時刻を拾う
ようなのをよくやるんだ。それとヒマな日はatコマンドで定時ぴったりにマシン止めたりして遊ぶ
んだが一部マシンはシャットダウン開始時にでかいビープがなる。だから定時の館内放送と
シャットダウン時刻がずれるのはとても困る。
0545名無しさん@お腹いっぱい。
垢版 |
2011/08/08(月) 21:35:38.29
公式にアナウンスしていない機能でも、
バカなユーザに依存されると面倒だから、
なるべく機能は止めておこうね、という教訓でわ
0546:543
垢版 |
2011/08/08(月) 22:06:37.63
ちなみに俺はNTPごときで苦情を言ったことなんかないぞ。
ただちょっと恥ずかしかっただけだ。
0549名無しさん@お腹いっぱい。
垢版 |
2011/09/21(水) 21:41:47.21
原子時計まで汚染されてしまったか。
これからはセシウムの入っていない原子時計を西日本か海外から輸入しないとな。
0552名無しさん@お腹いっぱい。
垢版 |
2011/09/23(金) 10:22:32.28
セシウム入り原子時計は担当者がプレゼン用にふざけ心で試作した物ですが、
手違いで製品として23個だけ出荷されてしまいました。
0553名無しさん@お腹いっぱい。
垢版 |
2011/09/23(金) 11:18:38.49
>>551
違うよ。

原子時計のセシウムは、セシウム133で、安定セシウム(放射性ではない)。
だから、「放出してるもの」は無い。(セシウム137とかと混同すな)

安定セシウム133とは別に(電子回路で)マイクロ波を発振し、
それを安定セシウム133に共鳴させて正確な周波数を得る。
0554名無しさん@お腹いっぱい。
垢版 |
2011/10/27(木) 02:15:42.02
アンドロイドのntpアプリ又は時刻調整ってどうなっていますか?
0555名無しさん@お腹いっぱい。
垢版 |
2011/10/27(木) 22:58:29.97
>>554
スマホは何もしなくても時間はズレないから、NTPの出番はないのでは?
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況