TP-Linkの無線LANルーターなどで高頻度でNTPサーバーにリクエストを投げる設定が発覚し問題に 94
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
TP-Linkの無線LANルーターなどが、非常に高い頻度で外部のNTPサーバーやDNSサーバーにリクエストを投げていることが発覚した。インターネット接続を確認するためだけにNTPやDNSを利用しており、これによって月間700MBもの通信が発生しているという話もあるようだ(Ctrl blog、「24Wireless」ブログ)。
先日、福岡大学の公開NTPサーバーに多量のトラフィックがあり関係者が難儀しているという話が話題になっていたが(NW屋的日常徒然日記、Togetterまとめ)、TP-Linkの機器もこの福岡大学の公開NTPサーバーに接続するようになっていたという。実際に検証した人のブログによると、毎秒1~2回の頻度で福岡大学のNTPサーバーにリクエストを投げていることが確認できたそうだ。また、このリクエストをルーターでフィルタリングしてもルーターの動作自体は特に変わらなかったそうだ。
これに対しTP-Linkはインターネット接続の確認のためにNTPを使っていることを認めており、現在対応を行っているという(TP-Linkの発表)。
こういうのは自前でやるものではないの? (スコア:4, すばらしい洞察)
継続的な負荷がかかるんだから自前でサーバ立てて
そこへの疎通確認するのが普通ではないのか。
他所様のサーバ使うとか(しかも月間700MBとか)意味がわからない。
Re:こういうのは自前でやるものではないの? (スコア:2, 参考になる)
そういった常識が通用しない会社というのがわかっただけでも、今回のニュースは価値があるのではないかと。
そういった常識が通用しない会社? (スコア:0)
Wikipedia日本語版のTP-LINK Technologiesを見れば、TP-LINK Technologies関係者が作成した事は明白。
https://ja.wikipedia.org/wiki/TP-LINK_Technologies [wikipedia.org]
誰かが今回の不祥事を書き込んでも、直ぐに抹消される事でしょう。
# Wikipediaの自社項目に、自社関係者が書き込む行為は、Wikipedia規約違反と聞いています。
Re:そういった常識が通用しない会社? (スコア:2, 興味深い)
編集履歴 [wikipedia.org]、凄いね・・・・・・
Revon.zhang [wikipedia.org]とIcey.Dong [wikipedia.org]だけで大半書いてて、その二人ともがこのページしか編集してない。
初稿から宣伝じみてるし二人共あからさまに社員でこの時点で相当アレなんだけど、
極めつけはスラドのこのストーリーのコメント#3335688 [srad.jp]だと思う。
隠す気ゼロでRevon.zhang [wikipedia.org]本人かよ!
Re:そういった常識が通用しない会社? (スコア:1)
Wikipedia日本語版ワロタ。
TP-Linkの製品は買わないでヨイことがわかったので参考になった。草
Re: (スコア:0)
http://www.tp-link.jp/news-details-17792.html [tp-link.jp]
「この現象は、中継器がNTPサーバーへのアクセスを試みることで、インターネット接続の有無の確認を行うために発生しております。
高い頻度でチェックを行うことでインターネット接続の確認がリアルタイムに可能となり、またユーザーの利便性向上のため、管理画面にて接続状況を表示するため使用しております。
このような動作はネットワーク機器における一般的な挙動ですが、弊社製品は頻度が高いためこの動作によって各NTPサーバーに負荷を与えてしまっておりました。」
NTPサーバに投げる理由が説明できてないですよね
8.8.8.8にでもなげとけばいいのに
流石にGoogleに喧嘩売るのはまずいとでも思ったのでしょうか
<更新>TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して (スコア:3, すばらしい洞察)
> この度は、ユーザーの皆様にご心配をおかけしましたことを深くお詫び申し上げます。
http://www.tp-link.jp/news-details-17792.html [tp-link.jp]
詫びる先が違うだろ。
福岡大学を含むNTPサーバーをご提供いただいている各所であるべきだ。
Re:<更新>TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して (スコア:2, 興味深い)
また、ファームウェアのアップグレードにより中継器の管理画面へのアクセス時のみNTPサーバーとの通信を行うように修正を行なっており、進捗状況は現在以下のようになります。
全然反省していないんだけど。
Re: (スコア:0)
ほとんどの人は普段管理画面なんぞ表示しないので、NTPへの負荷は劇的に減るはずだけど
そもそも必要かどうか、別にあるとしても
Re: (スコア:0)
NTPへの負荷は劇的に減るはずだけど
出荷時で、ファームウェアのアップグレードは自動で行われるようになっているのでしょうか?
Re: (スコア:0)
そりゃ当然菓子折り持って頭下げに行ってるだろ。知らんけど。
Re: (スコア:0)
ユーザも負荷かけてる共犯にされてるわけだしアプデがあったりするなら対応せなアカンし詫びる先の一つだろ
NTP利用の理由とアップデートの推奨 (スコア:3, 参考になる)
中国深圳に入れる企業である普聯技術は、製品を120を超える国の数千万人のユーザーに売っている。
製品は100%安全で、あなたのプライバシーはセキュリティで保護されています。
しかし、中国の製品は、屡々スパイウェアとバックドアが含まれるという事実無根の冤罪にさらされます。
世界で信頼された日本私立の大学のNTPサーバー (clock.nc.fukuoka-u.ac.jp) と通信しているのは、120を超える国の皆様を安心にする目的です。
> 8.8.8.8にでもなげとけばいい
Googleサービスは中国国内からの金盾工程(全国公安工作信息化工程,Great Firewall)を通れることが保証されていない。
中国国内では政府の管理底でDNS cash poisoningがなされるのでGoogleサービスはDROPされる恐れがあります。
> 自前でサーバ立ててそこへの疎通確認するのが普通
もしそうしたならば、日本人のいくつかの部分は、パケットの内容を捕らえることもなく、「情報を中国のサーバーに送るスパイウェアである」という冤罪をするであろう。中国企業のIPアドレスに通信をするだけでスパイウェアの疑惑がかかる。
日本政府 nict.go.jp のNTPならば日本人は安心だが、中国人は情報を日本政府に送っていると誤解される。
従って、スパイの疑いがかけられる自前や政府のサーバーではなく、世界で信頼された日本私立の大学のNTPサーバー (clock.nc.fukuoka-u.ac.jp) と通信している。
> NTPサーバに投げる理由が説明できてないですよね
L2機器なNetwork switchなので多用なネットワーク構成が想定される。
Captive Portal認証や社内HTTP Proxyが必要な場合、HTTPやHTTPSが通るとは限らない。
そういう場合でも最も高い確率で通るのは DNS (UDP 53), NTP (UDP 123) の2つしかない。
ルータなどの低レイヤーでもタイムスタンプの為のNTPが使われてるからCaptive Portal認証を通らなくてもNTPは通信されやすい。
ICMPも調査ではNTPよりDROPされやすいしシンプルなデータ構造のNTP [dti.ne.jp]は、構造が多用でデータ長も不確定なICMP PINGより大幅な負荷が低い。
それにPINGはパケットのパディング(データの埋め合わせ)データのパターンが任意で文字長も自由(例はWindowsはPINGコマンドでabcdefghiojklmnopqrstu…………………なような連続アルファベットパターンを作成しますがこのパターンにする義務はなくシステムによっては乱数データです)なので、屡々スパイに使用されてるので、疑惑をかけられます。乱数のパターンと暗号化された機密パターンはパケットキャプチャーからも区別できませんので。
もし今回のような高頻度の疎通確認のミステイクがPINGでされて、PINGのパディングが乱数パターンだったら間違いなくスパイ行為の疑惑がかけられ会社は非常に大きな損失を受けました。
> 該当ルータの一つ上流のルータにするとか
default gatewayへの通信が確立されてもインターネット接続の確認にはならない
頻度が高いなのでNTPサーバーに負荷を与えてしまっておりましたのは会社のミステイクで、ファームウェアのアップグレードによって、トランスポンダの管理スクリーンへのアクセスの時にだけNTPサーバーと通信されます。
ファームウェアのアップデートをお願いします。
Re:NTP利用の理由とアップデートの推奨 (スコア:1)
いや、製品の仕向け地にサーバぐらい確保しろよ。それに国ごとに法律がちがうんだからファームが共通というのも考えが甘い。
Re:NTP利用の理由とアップデートの推奨 (スコア:1)
TP-Linkは過去にドメイン更新を忘れて、ドメイン乗っ取られてます。 [gigazine.net]
設定用サーバで使うドメインだったので結構重大な問題なのに、ドメインを取り返すの諦めた模様
対応として酷い会社だなと思っていたのですが、またやらかしたみたいですね。
ドメイン乗っ取りで懲りたのか、新しくサーバーを建てるのは後ろ向きなのかもしれませんね。
ちなみにDNS乗っ取られの件もWikipediaには残っていませんね。
通信機器会社の姿勢としては好きになれませんね。
NTPはインターネット接続確認のためのプロトコルではない (スコア:2, すばらしい洞察)
しかも、毎秒1~2回って・・・
Re: (スコア:0)
でもネットに繋がってるか確認するのって結構面倒だよ。
だって受ける側は誰が繋がってるか分かるからそれなりのプライバシーが関わるし、
ルーターって販売期間終わって、ファームウェアアップデートをしなくなってからも長く正常に動き続ける事が期待されるし、
自社サーバーにするとその永続性を保証するのはかなり難しいし。
AndroidはGoogleのどこかのページとHTTPで確認してるけれど、中国では遮断されるからBaiduを代わりに使って問題になったとか、そういう話もあった気がする。
Re:NTPはインターネット接続確認のためのプロトコルではない (スコア:1)
その面倒なことを福岡大のNTPに頼んでるのがおかしいだろ。
Re: (スコア:0)
自社でコントロールできない他社サーバに依存していたらそれこそ永続性なんか保証できないよね?
だったら自社で用意する方がよっぽどマシだと思うんだけど
パケットを投げる先の選択が悪すぎる (スコア:1)
他人のサーバにパケットを投げるとは.さすがにセンス悪すぎると思う.
1台あたり秒2回とはいえ,何台のルータを売るつもりだったのかね. もしかして,一桁ぐらいの台数しか売れると思っていなかったとか?
Re:パケットを投げる先の選択が悪すぎる (スコア:1)
この会社自身が書いたと思われるwikipediaの記事によると、「WLAN およびブロードバンド CPE デバイスにおいて世界 No.1 プロバイダーで、120 か国以上で数千万人のユーザーに製品を販売している。」らしいよ。そんな会社が、「一桁ぐらいの台数しか売れると思っていなかった」なんてありえんw
無線LANルーター? (スコア:1)
TP-Linkの発表見ると「TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して」と書いてるけど
中継器以外ルーターも関係あるの?
ブラックリスト (スコア:1)
TP-Link の製品は今後購入しないようにしたいと思っています。購入候補として検討するのさえ憚られます。
しかし、しばらくすると忘れてしまうのです。
この手の情報をブラックリストとして蓄積しているところとかないのでしょうか?
Re:ブラックリスト (スコア:1)
多分あなた私刑したいだけでしょ?
Re:ブラックリスト (スコア:1)
低価格を売りにしている某ブランドの、最低ラインの品を量販店のワゴン売りで\1280で買ったことがある。
管理画面がいきなり誤訳な日本語で笑ったがそれはまだ序の口。(というか、日本語対応していることに驚いた、それぐらいなブランド)
ファームウェアのバージョンチェック先がフリーウェアのアーカイブサイトだったり、その機種もntpサーバは某大学に設定されていたり・・・・。
ってのが既に何年も前の話。
だから今回のこの記事を読んでも特に驚きはしなかったけれど、TP-Linkもそんな品を扱っているブランドだったのか・・・・、と、その程度。
無名の弱小企業がOEM供給向けに開発した品だと、どのメーカーに売りつけてもモディファイしなくて済むように無関係なトコのサーバを設定してるんだろうなあ、と解釈している。
私は (スコア:0)
外との接続確認はyahoo.co.jpを使います。
ネットワークセットアップした後の確認時ね。
Google さん お世話になっております (スコア:0)
私は traceroute 8.8.8.8 とかが多いかなあ
Re: (スコア:0)
私もGoogleかなー。
RFC的に決まってたりしないのかな。
# けど、家庭用のルーターならDHCPでNTPもプロバイダのが飛んでこないか?
Re:Google さん お世話になっております (スコア:1)
# けど、家庭用のルーターならDHCPでNTPもプロバイダのが飛んでこないか?
バッファローだとmfeedを使うように書いてあります [buffalo.jp]ね。
Re: (スコア:0)
外との接続確認はWindows Updateですね。
アメリカなら即訴訟もんだな (スコア:0)
ほんと
Re:アメリカなら即訴訟もんだな (スコア:2, 参考になる)
米Netgearが昔やらかしてんだな。その時は大学にお布施したとのこと。
ウィスコンシン大学-ネットギアNTP問題 [wikipedia.org]
10年以上前にも同じ話があったというのに誰も覚えていない (スコア:0)
https://srad.jp/story/05/01/21/0214236/ [srad.jp] 福岡大学NTPサーバの混雑解消にご協力を
hylonは昔のストーリーを検索するくらいはやれ
Re: (スコア:0)
昔の投稿を資産とは考えていないんだろうな
気軽に手抜きで素早くトピック立てるのが全てというそこらのアフィブログと同じ運営方針
Re: (スコア:0)
編集者は運営サイドの人間じゃないんだけども
Re: (スコア:0)
全くだ。
hylonは古参の割にほんとゴミ。
そもそも疎通確認が必要なの? (スコア:0)
>TP-Linkの無線LANルーターなどが
報告者や TP-Link 自身はルータじゃなくて「無線LAN中継器」と呼んでるようですが。
ルータと中継器(リピータ)は役割がぜんぜん違うんですが。
ルータならIPアドレスを持つけど、リピータはアドレスいらないし、
インターネットに対する疎通確認なんかする必要がそもそもないはず。
まあ、実際のところは設定UIとかのためにIPアドレスはあるんだろうけど、
LAN内でつながればいいだけで、外に出て行ける必要はないよね。
他社 (スコア:0)
Windows10、Android、iOS、...
それぞれ インターネット接続ありを検出してるけど
# とかいいながら iOSは知らないけど
どうやって確認してるかの一覧てどこかにある?
Re:他社 (スコア:2)
OS X と iOS は多分 http://captive.apple.com/hotspot-detect.html [apple.com] かな。URL からしてインターネット接続というより Captive Portal 検出用でしょうけど。Wi-Fi などでログイン画面がでるやつ(有線だと Web 認証と呼ばれる)。
・Success が返ってきたらインターネットに接続している
・違うものが返ってきたら Captive Portal が返っている
・エラーが発生したらネットワークに不具合がある
Re: (スコア:0)
WindowsはMicrosoftのサイトに対して疎通確認しているようです。特にIPv6については、Windows8以降はMicrosoftがIPv6のみで提供しているサイトにHTTPでアクセスできないとIPv6の優先度を下げてIPv4の優先度を上げるなんてことも自動でやっています。
Re: (スコア:0)
自社製品向け(Windows)にTeredo提供してますもんね。
上の方に書かれてるけど、自前で提供してデフォルトをそれに設定しとくべきモノですよねぇ>TP-LINK
Re:他社 (スコア:1)
中国内へのサーバーとの通信だとギャーギャー言われるからとか
もっと毅然とした対応を (スコア:0)
個人的には好ましく感じるけど、対応が古き良きインターネット時代のものに見える。
ISPで弾いてもらうのも有効性がどうとか書いてるけど、利用者に不便をかけたくないっていう気持ちが先にあるんじゃないかな。
DDoS攻撃に対するのと同じ対応でいいと思うぞ。
Re: (スコア:0)
> 対応が古き良きインターネット時代のものに見える。
それ言い始めたら、そもそも大学でNTPサーバ提供やめようぜとか言い出す人が出そうでちょっと...
Re: (スコア:0)
大学は大学で、大学内のサーバー群にNTPを提供する必要がある。クライアントOSのNTPはメーカーが提供してるけど。
だから、大学内のネットワーク以外からは遮断すればいい話し。
どこかでフリーライダー達が阿鼻叫喚になるかもしれないけど、知ったことでは無い。乏しい科研費をNTPサーバーの増強に使う必要は無い。
国家としてのNTPはNICTがやってるんだからさ。
Re: (スコア:0)
2038年とかの時刻を返してしまえばいいのだ
僕のを使いなよ (スコア:0)
いつもは使わないでねって言ってるけど、そんな用途なら僕のを使ってもいいんだよ。
127.0.0.1
Re: (スコア:0)
誰がお前のなんて使うかよ!
俺は意地でも127.0.0.2を使う!!
Re: (スコア:0)
俺は127.57.40.241を使う!
# 頭が127ならいいんだよ
Re: (スコア:0)
The Net だと 75.748.86.91 と 23.75.345.200 かな?