パスワードを忘れた? アカウント作成
13488656 story
インターネット

TP-Linkの無線LANルーターなどで高頻度でNTPサーバーにリクエストを投げる設定が発覚し問題に 94

ストーリー by hylom
どうしてこうなった 部門より

TP-Linkの無線LANルーターなどが、非常に高い頻度で外部のNTPサーバーやDNSサーバーにリクエストを投げていることが発覚した。インターネット接続を確認するためだけにNTPやDNSを利用しており、これによって月間700MBもの通信が発生しているという話もあるようだ(Ctrl blog「24Wireless」ブログ)。

先日、福岡大学の公開NTPサーバーに多量のトラフィックがあり関係者が難儀しているという話が話題になっていたが(NW屋的日常徒然日記Togetterまとめ)、TP-Linkの機器もこの福岡大学の公開NTPサーバーに接続するようになっていたという。実際に検証した人のブログによると、毎秒1~2回の頻度で福岡大学のNTPサーバーにリクエストを投げていることが確認できたそうだ。また、このリクエストをルーターでフィルタリングしてもルーターの動作自体は特に変わらなかったそうだ。

これに対しTP-Linkはインターネット接続の確認のためにNTPを使っていることを認めており、現在対応を行っているという(TP-Linkの発表)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by mars12 (28939) on 2017年12月25日 17時49分 (#3335493) 日記

    継続的な負荷がかかるんだから自前でサーバ立てて
    そこへの疎通確認するのが普通ではないのか。
    他所様のサーバ使うとか(しかも月間700MBとか)意味がわからない。

    • by Anonymous Coward on 2017年12月25日 18時03分 (#3335508)

      そういった常識が通用しない会社というのがわかっただけでも、今回のニュースは価値があるのではないかと。

      親コメント
    • by Anonymous Coward

      http://www.tp-link.jp/news-details-17792.html [tp-link.jp]
      「この現象は、中継器がNTPサーバーへのアクセスを試みることで、インターネット接続の有無の確認を行うために発生しております。

      高い頻度でチェックを行うことでインターネット接続の確認がリアルタイムに可能となり、またユーザーの利便性向上のため、管理画面にて接続状況を表示するため使用しております。

      このような動作はネットワーク機器における一般的な挙動ですが、弊社製品は頻度が高いためこの動作によって各NTPサーバーに負荷を与えてしまっておりました。」

      NTPサーバに投げる理由が説明できてないですよね
      8.8.8.8にでもなげとけばいいのに
      流石にGoogleに喧嘩売るのはまずいとでも思ったのでしょうか

  • by Anonymous Coward on 2017年12月25日 18時06分 (#3335509)

    > この度は、ユーザーの皆様にご心配をおかけしましたことを深くお詫び申し上げます。
    http://www.tp-link.jp/news-details-17792.html [tp-link.jp]

    詫びる先が違うだろ。
    福岡大学を含むNTPサーバーをご提供いただいている各所であるべきだ。

    • また、ファームウェアのアップグレードにより中継器の管理画面へのアクセス時のみNTPサーバーとの通信を行うように修正を行なっており、進捗状況は現在以下のようになります。

      全然反省していないんだけど。

      親コメント
      • by Anonymous Coward

        ほとんどの人は普段管理画面なんぞ表示しないので、NTPへの負荷は劇的に減るはずだけど
        そもそも必要かどうか、別にあるとしても

        • by Anonymous Coward

          NTPへの負荷は劇的に減るはずだけど

          出荷時で、ファームウェアのアップグレードは自動で行われるようになっているのでしょうか?

    • by Anonymous Coward

      そりゃ当然菓子折り持って頭下げに行ってるだろ。知らんけど。

    • by Anonymous Coward

      ユーザも負荷かけてる共犯にされてるわけだしアプデがあったりするなら対応せなアカンし詫びる先の一つだろ

  • by zhang (48287) on 2017年12月26日 0時16分 (#3335688)

    中国深圳に入れる企業である普聯技術は、製品を120を超える国の数千万人のユーザーに売っている。
    製品は100%安全で、あなたのプライバシーはセキュリティで保護されています。
    しかし、中国の製品は、屡々スパイウェアとバックドアが含まれるという事実無根の冤罪にさらされます。
    世界で信頼された日本私立の大学のNTPサーバー (clock.nc.fukuoka-u.ac.jp) と通信しているのは、120を超える国の皆様を安心にする目的です。

    > 8.8.8.8にでもなげとけばいい
    Googleサービスは中国国内からの金盾工程(全国公安工作信息化工程,Great Firewall)を通れることが保証されていない。
    中国国内では政府の管理底でDNS cash poisoningがなされるのでGoogleサービスはDROPされる恐れがあります。

    > 自前でサーバ立ててそこへの疎通確認するのが普通
    もしそうしたならば、日本人のいくつかの部分は、パケットの内容を捕らえることもなく、「情報を中国のサーバーに送るスパイウェアである」という冤罪をするであろう。中国企業のIPアドレスに通信をするだけでスパイウェアの疑惑がかかる。
    日本政府 nict.go.jp のNTPならば日本人は安心だが、中国人は情報を日本政府に送っていると誤解される。
    従って、スパイの疑いがかけられる自前や政府のサーバーではなく、世界で信頼された日本私立の大学のNTPサーバー (clock.nc.fukuoka-u.ac.jp) と通信している。

    > NTPサーバに投げる理由が説明できてないですよね
    L2機器なNetwork switchなので多用なネットワーク構成が想定される。
    Captive Portal認証や社内HTTP Proxyが必要な場合、HTTPやHTTPSが通るとは限らない。
    そういう場合でも最も高い確率で通るのは DNS (UDP 53), NTP (UDP 123) の2つしかない。
    ルータなどの低レイヤーでもタイムスタンプの為のNTPが使われてるからCaptive Portal認証を通らなくてもNTPは通信されやすい。
    ICMPも調査ではNTPよりDROPされやすいしシンプルなデータ構造のNTP [dti.ne.jp]は、構造が多用でデータ長も不確定なICMP PINGより大幅な負荷が低い。
    それにPINGはパケットのパディング(データの埋め合わせ)データのパターンが任意で文字長も自由(例はWindowsはPINGコマンドでabcdefghiojklmnopqrstu…………………なような連続アルファベットパターンを作成しますがこのパターンにする義務はなくシステムによっては乱数データです)なので、屡々スパイに使用されてるので、疑惑をかけられます。乱数のパターンと暗号化された機密パターンはパケットキャプチャーからも区別できませんので。
    もし今回のような高頻度の疎通確認のミステイクがPINGでされて、PINGのパディングが乱数パターンだったら間違いなくスパイ行為の疑惑がかけられ会社は非常に大きな損失を受けました。

    > 該当ルータの一つ上流のルータにするとか
    default gatewayへの通信が確立されてもインターネット接続の確認にはならない

    頻度が高いなのでNTPサーバーに負荷を与えてしまっておりましたのは会社のミステイクで、ファームウェアのアップグレードによって、トランスポンダの管理スクリーンへのアクセスの時にだけNTPサーバーと通信されます。

    ファームウェアのアップデートをお願いします。

  • by Anonymous Coward on 2017年12月25日 17時54分 (#3335497)

    しかも、毎秒1~2回って・・・

    • by Anonymous Coward

      でもネットに繋がってるか確認するのって結構面倒だよ。
      だって受ける側は誰が繋がってるか分かるからそれなりのプライバシーが関わるし、
      ルーターって販売期間終わって、ファームウェアアップデートをしなくなってからも長く正常に動き続ける事が期待されるし、
      自社サーバーにするとその永続性を保証するのはかなり難しいし。

      AndroidはGoogleのどこかのページとHTTPで確認してるけれど、中国では遮断されるからBaiduを代わりに使って問題になったとか、そういう話もあった気がする。

  • by Anonymous Coward on 2017年12月25日 17時55分 (#3335498)
    該当ルータの一つ上流のルータにするとか,自社でクラウドに鯖を置くとかが普通だと思う.
    他人のサーバにパケットを投げるとは.さすがにセンス悪すぎると思う.

    1台あたり秒2回とはいえ,何台のルータを売るつもりだったのかね. もしかして,一桁ぐらいの台数しか売れると思っていなかったとか?
    • by Anonymous Coward on 2017年12月25日 23時24分 (#3335663)

      この会社自身が書いたと思われるwikipediaの記事によると、「WLAN およびブロードバンド CPE デバイスにおいて世界 No.1 プロバイダーで、120 か国以上で数千万人のユーザーに製品を販売している。」らしいよ。そんな会社が、「一桁ぐらいの台数しか売れると思っていなかった」なんてありえんw

      親コメント
  • by naima (6903) on 2017年12月25日 18時46分 (#3335534)

    TP-Linkの発表見ると「TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して」と書いてるけど
    中継器以外ルーターも関係あるの?

  • by Anonymous Coward on 2017年12月25日 21時32分 (#3335618)

    TP-Link の製品は今後購入しないようにしたいと思っています。購入候補として検討するのさえ憚られます。
    しかし、しばらくすると忘れてしまうのです。

    この手の情報をブラックリストとして蓄積しているところとかないのでしょうか?

    • by Anonymous Coward on 2017年12月25日 22時09分 (#3335633)

      多分あなた私刑したいだけでしょ?

      親コメント
    • by Anonymous Coward on 2017年12月25日 22時13分 (#3335637)

      低価格を売りにしている某ブランドの、最低ラインの品を量販店のワゴン売りで\1280で買ったことがある。

      管理画面がいきなり誤訳な日本語で笑ったがそれはまだ序の口。(というか、日本語対応していることに驚いた、それぐらいなブランド)
      ファームウェアのバージョンチェック先がフリーウェアのアーカイブサイトだったり、その機種もntpサーバは某大学に設定されていたり・・・・。
      ってのが既に何年も前の話。

      だから今回のこの記事を読んでも特に驚きはしなかったけれど、TP-Linkもそんな品を扱っているブランドだったのか・・・・、と、その程度。

      無名の弱小企業がOEM供給向けに開発した品だと、どのメーカーに売りつけてもモディファイしなくて済むように無関係なトコのサーバを設定してるんだろうなあ、と解釈している。

      親コメント
  • by Anonymous Coward on 2017年12月25日 17時56分 (#3335501)

    外との接続確認はyahoo.co.jpを使います。
    ネットワークセットアップした後の確認時ね。

  • by Anonymous Coward on 2017年12月25日 18時02分 (#3335507)

    ほんと

  • https://srad.jp/story/05/01/21/0214236/ [srad.jp] 福岡大学NTPサーバの混雑解消にご協力を

    hylonは昔のストーリーを検索するくらいはやれ

    • by Anonymous Coward

      昔の投稿を資産とは考えていないんだろうな
      気軽に手抜きで素早くトピック立てるのが全てというそこらのアフィブログと同じ運営方針

      • by Anonymous Coward

        編集者は運営サイドの人間じゃないんだけども

    • by Anonymous Coward

      全くだ。
      hylonは古参の割にほんとゴミ。

  • by Anonymous Coward on 2017年12月25日 18時39分 (#3335530)

    >TP-Linkの無線LANルーターなどが

    報告者や TP-Link 自身はルータじゃなくて「無線LAN中継器」と呼んでるようですが。
    ルータと中継器(リピータ)は役割がぜんぜん違うんですが。

    ルータならIPアドレスを持つけど、リピータはアドレスいらないし、
    インターネットに対する疎通確認なんかする必要がそもそもないはず。
    まあ、実際のところは設定UIとかのためにIPアドレスはあるんだろうけど、
    LAN内でつながればいいだけで、外に出て行ける必要はないよね。

  • by Anonymous Coward on 2017年12月25日 18時45分 (#3335533)

    Windows10、Android、iOS、...

    それぞれ インターネット接続ありを検出してるけど
    # とかいいながら iOSは知らないけど
    どうやって確認してるかの一覧てどこかにある?

    • by ogino (1668) on 2017年12月25日 20時21分 (#3335589) 日記

      OS X と iOS は多分 http://captive.apple.com/hotspot-detect.html [apple.com] かな。URL からしてインターネット接続というより Captive Portal 検出用でしょうけど。Wi-Fi などでログイン画面がでるやつ(有線だと Web 認証と呼ばれる)。
      ・Success が返ってきたらインターネットに接続している
      ・違うものが返ってきたら Captive Portal が返っている
      ・エラーが発生したらネットワークに不具合がある

      親コメント
    • by Anonymous Coward

      WindowsはMicrosoftのサイトに対して疎通確認しているようです。特にIPv6については、Windows8以降はMicrosoftがIPv6のみで提供しているサイトにHTTPでアクセスできないとIPv6の優先度を下げてIPv4の優先度を上げるなんてことも自動でやっています。

      • by Anonymous Coward

        自社製品向け(Windows)にTeredo提供してますもんね。

        上の方に書かれてるけど、自前で提供してデフォルトをそれに設定しとくべきモノですよねぇ>TP-LINK

  • by Anonymous Coward on 2017年12月25日 19時05分 (#3335546)

    個人的には好ましく感じるけど、対応が古き良きインターネット時代のものに見える。
    ISPで弾いてもらうのも有効性がどうとか書いてるけど、利用者に不便をかけたくないっていう気持ちが先にあるんじゃないかな。
    DDoS攻撃に対するのと同じ対応でいいと思うぞ。

    • by Anonymous Coward

      > 対応が古き良きインターネット時代のものに見える。
       
      それ言い始めたら、そもそも大学でNTPサーバ提供やめようぜとか言い出す人が出そうでちょっと...

      • by Anonymous Coward

        大学は大学で、大学内のサーバー群にNTPを提供する必要がある。クライアントOSのNTPはメーカーが提供してるけど。
        だから、大学内のネットワーク以外からは遮断すればいい話し。
        どこかでフリーライダー達が阿鼻叫喚になるかもしれないけど、知ったことでは無い。乏しい科研費をNTPサーバーの増強に使う必要は無い。
        国家としてのNTPはNICTがやってるんだからさ。

    • by Anonymous Coward

      2038年とかの時刻を返してしまえばいいのだ

  • by Anonymous Coward on 2017年12月25日 22時09分 (#3335634)

    いつもは使わないでねって言ってるけど、そんな用途なら僕のを使ってもいいんだよ。

    127.0.0.1

    • by Anonymous Coward

      誰がお前のなんて使うかよ!
      俺は意地でも127.0.0.2を使う!!

    • by Anonymous Coward

      俺は127.57.40.241を使う!

      # 頭が127ならいいんだよ

    • by Anonymous Coward

      The Net だと 75.748.86.91 と 23.75.345.200 かな?

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...