problem s ntpdate

Dalibor Straka dast na panelnet.cz
Pátek Duben 25 23:12:37 CEST 2003 

On Fri, 25 Apr 2003, Petr Simek wrote:

> On Fri, 25 Apr 2003, Jirka Kosina wrote:
> 
> > > > Máte špatný pocit. Nepovoluji zvenku nic než ESTABLISHED a RELATED
> > > > a ntpdate mi funguje bez nejmenších problémů (xntpd také). Nehledě
> > > > na to, že mluvit u UDP komunikace o "spojení" je silně zavádějící.
> > > A co asi myslite ze znamena to RELATED ? Povoluje Vam spojeni dovnitr
> > > (nebo chcete-li pristup) na port NTP.
> >
> > Bud jsem prilis unaveny, nebo mluvite z cesty.
> >
> > Kdyz se NTP klient na Vasem stroji rozhodne, ze se spoji s NTP serverem v
> > Internetu, navaze spojeni z nejakeho vysokeho portu (>1024) na ntp port
> > prislusneho NTP serveru. ESTABLISHED pak pusti dovnitr data, ktera
> > pritecou od NTP serveru na prislusny vysoky port, aby se NTP klient
> > dozvedel odpoved.
> 
> Ehm - skuste si to chtit tcpdumpem. Ten ntp klient komunikuje ze 123.

Muj "tcpdump host tik.cesnet.cz -n" zareagoval takto
23:10:48.699376 147.32.240.121.123 > 195.113.144.201.123:  v4 client strat 
0 poll 4 prec -6 (DF)
23:10:48.700159 195.113.144.201.123 > 147.32.240.121.123:  v4 server strat 
1 poll 4 prec -18
23:10:48.700421 147.32.240.121.123 > 195.113.144.201.123:  v4 client strat 
0 poll 4 prec -6 (DF)
23:10:48.701006 195.113.144.201.123 > 147.32.240.121.123:  v4 server strat 
1 poll 4 prec -18
23:10:48.701095 147.32.240.121.123 > 195.113.144.201.123:  v4 client strat 
0 poll 4 prec -6 (DF)
23:10:48.701672 195.113.144.201.123 > 147.32.240.121.123:  v4 server strat 
1 poll 4 prec -18
23:10:48.723319 147.32.240.121.123 > 195.113.144.201.123:  v4 client strat 
0 poll 4 prec -6 (DF)
23:10:48.723885 195.113.144.201.123 > 147.32.240.121.123:  v4 server strat 
1 poll 4 prec -18

na prikaz 
ray:~# ntpdate tik.cesnet.cz
25 Apr 23:08:04 ntpdate[14133]: adjust time server 195.113.144.201 offset 
-0.115371 sec

> 
> > RELATED se uplatni pouze v pripade connection trackingu (napriklad pro
> > protokol ftp, irc), nebo pro ICMP error zpravu. V zadnem pripade nedovoli
> > NTP serveru otevrit automaticky spojeni na muj port 113 ... to by
> 
> Asi tam melo byt ESTABLISHED , ale jde prave o to povoleni pristupu
> na port 113 protoze z nej ten ntpdate otvira spojeni.
> 

Tak to mate asi hacknuty, kdyz si ntpdate otevira 113 :). 113 je auth, a 
kdyz nebezi tak je slusne ji rejectovat, alespon kvuli time outu. Nesaha 
nahodou server na vas 113, aby si vas osahal? Priznejte se pro klid me 
duse, ze jde o preklep

-- Dalibor Straka

Další informace o konferenci Linux