被忽视的NTP安全

NTP(Network Time Protocol）网络时间协议是一种基于UDP的网络协议，它用于网络时间同步，使网络中的计算机时钟同步到世界协调时间 (UTC)，再配合各个时区的偏移调整就能实现精准同步对时功能。NTP协议可广泛应用于各类设备或系统，对网络世界有着举足轻重的作用，但是在实际应用中却往往忽视了它的作用，甚至可能会带来一些危害。如影响业务系统运行，影响日志审计的真实性等。

一、相关案例

案例1

某单位新部署了一批服务器，运行一段时间后发现大部分Linux服务器时钟发生跳变。受影响的服务器每隔一段时间时钟增加固定一段时间，然后隔一小段时间又恢复正常时间，虽然间隔时间非常短，但是时间跳变对系统调试还是造成了一定影响。该单位业务系统有多个模块和子系统组成，各个模块之间时间不一致，可能会导致业务流程出现问题，可能会严重影响到系统的正常运行。为排查该问题采取了一下措施：

1、检查系统是否有非法进程，结果显示没有发现异常进程；

2、本地chrony服务（接受NTP配置）配置是否正确，结果显示只有一个时钟源，而且配置正确；

3、网络抓包识别是否存在多个时钟源，结果显示服务器只与一个时钟源进行通信。多方排查没有发现问题后，采取最原始的方式排除法，将系统部署的程序逐个卸载，最后发现某软件的问题，卸载或修改配置后解决。后来分析为什么没有通过抓包发现多个时钟源，是由于某软件采用了自己的协议进行加密传输。

案例2

某单位，有一天突然所有业务系统都无法正常使用，具体特征是应用程序无法从数据库中读取数据，通过检查网络、主机、数据库等均未发现异常，但是系统就是无法正常使用。一工作人员无意中发现计算机时钟不对，尝试修改时间后发现该系统可以恢复使用，然后对全部系统进行排查发现所有系统均存在该问题，对时钟进行修改后，相关业务恢复正常，经排查原来是时钟服务器发生故障，无法提供准确时间，然后与相连接的客户端进行时钟同步导致出现大面积时间偏差。

案例3

某单位，公共区显示系统，某个屏幕显示的信息总是前一天的信息，检查应用程序始终无法发现问题，后台检查本地时钟发现差了一天，结果导致显示信息出错。

二、攻击手段

针对NTP协议的攻击手段有很多，除了普通黑客入侵服务器篡改信息、监听修改数据包等方式外，由于民用GPS信号可以被伪造，因此利用无线电信号伪造的方式也可以进行攻击，同样会对相关系统造成危害。

三、相关启示

针对NTP的攻击，除传统的防御方法外，一方面加强国产北斗系统的应用，建立双校验机制；另一方面应加强非法无线电应用的打击。

随着各行各业信息系统的规模以及信息系统之间的信息化协同需求越来越大，时钟同步将是协调各个业务系统自动进行流程处理的基础功能，一旦时钟实现问题可能会导致各个业务流程出现重大偏差，严重影响业务的正常进行。像银行、交通、生产车间等有高度依赖时间协同的系统的，都应加强对NTP协议的关注。特别是现在正在建设的智慧城市等，大量的物联网技术将应用其中，如果作为感知神经的传感器和大脑中枢的数据中心没有进行严格的时钟同步，就可能会出现四肢不协调的问题，影响业务的运行。

转载请注明来自网盾网络安全培训，本文标题：《被忽视的NTP安全》

标签：网络安全技术