一、簡介

1.作用

NTP是從時間協(xié)議（Time Protocol）和ICMP時間戳報文（ICMP TimeStamp Message）演變而來，在準確性和健壯性方面進行了特殊的設計，理論上精度可達十億分之一秒。

NTP協(xié)議應用于分布式時間服務器和客戶端之間，實現(xiàn)客戶端和服務器的時間同步，從而使網(wǎng)絡內(nèi)所有設備的時鐘基本保持一致。

NTP協(xié)議是基于UDP進行傳輸?shù)?，使用端口號?23。

2.特征

NTP提供了準確時間，首先要有準確的時間來源，這一時間應該是國際標準時間UTC。 NTP獲得UTC的時間來源可以是原子鐘、天文臺、衛(wèi)星，也可以從Internet上獲取。這樣就有了準確而可靠的時間源。時間按NTP服務器的等級傳播。按照離外部UTC 源的遠近將所有服務器歸入不同的Stratum（層）中。Stratum-1在頂層，有外部UTC接入，而Stratum-2則從Stratum-1獲取時間，Stratum-3從Stratum-2獲取時間，以此類推，但Stratum層的總數(shù)限制在15以內(nèi)。所有這些服務器在邏輯上形成階梯式的架構(gòu)相互連接，而Stratum-1的時間服務器是整個系統(tǒng)的基礎。

計算機主機一般同多個時間服務器連接， 利用統(tǒng)計學的算法過濾來自不同服務器的時間，以選擇最佳的路徑和來源來校正主機時間。即使主機在長時間無法與某一時間服務器相聯(lián)系的情況下，NTP服務依然有效運轉(zhuǎn)。

為防止對時間服務器的惡意破壞，NTP使用了識別(Authentication)機制，檢查來對時的信息是否是真正來自所宣稱的服務器并檢查資料的返回路徑，以提供對抗干擾的保護機制。

二、報文

1.報文格式

2.報文字段

三、安全問題

1.可導致Windows拒絕服務

漏洞能夠?qū)е翹TP守護進程崩潰，并且觸發(fā)Windows系統(tǒng)拒絕服務。 “漏洞能夠讓未授權(quán)的用戶用構(gòu)造好的UDP包是的ntpd崩潰，導致空指針引用。” Stubman在周一的公告中寫道。 “根據(jù)NTP.org，ntpd沒有默認開啟trap服務，如果trap被開啟，攻擊者就能通過特別構(gòu)造的數(shù)據(jù)包導致空指針引、ntpd崩潰，進而導致服務器拒絕服務。這個漏洞只影響Windows服務器?！笨▋?nèi)基梅隆大學軟件工程學院CERT發(fā)布的漏洞記錄VU#633847中寫道。 Stubman發(fā)布了針對這一漏洞的PoC。理論上來說任何人都可以通過構(gòu)造數(shù)據(jù)包來使Windows服務器崩潰。 “NTP用戶應該立即采取行動保證NTP守護進程無法遭攻擊。用戶們可以趁此機會通過BCP38部署Ingress和Egress過濾。ntp-4.2.8p9已于11月21日發(fā)布，新版本修復了1個高危漏洞，2個中危漏洞，2個中低危漏洞和5個低危漏洞，還修復了28個bug和其他一些改進?！?/p>