福岡大学、公開NTPサーバーを停止する方針を決定 104
ストーリー by hylom
お疲れ様でした 部門より
お疲れ様でした 部門より
annoymouse coward曰く、
福岡大学の公開NTPサーバーに多量のトラフィックがあり関係者が難儀しているという話があったが(過去記事、Togetterまとめ)、とうとうNTPサーバーを止めることになった模様。
2018年1月24日(水)から開催中のJANOG41 Meetingにて「福岡大学における公開用NTPサービスの現状と課題 」という発表があり、停止に至った経緯と今後のスケジュールが報告されている。
発表スライド(PDF)によると、停止に至った理由としてさまざまな機器に福岡大学のNTPサーバーのIPv4アドレスがハードコーディングされていること、そしてスラドでのzhang氏のコメントが挙げられており、スライドの最後は「福岡大学のNTPサーバは停止します!」というメッセージで締めくくられている。
なお、単純にサーバーを停止させるとリクエストパケットが極端に増大する可能性があるとのことで、問題のIPアドレス宛のパケットは受け取るが返答はしない、といった形での運用を検討しているようだ。
Stratum1作ろうにも (スコア:5, おもしろおかしい)
Re:Stratum1作ろうにも (スコア:1)
Re: (スコア:0)
は?
普通にあるだろ
何吹いてんだお前
Re: (スコア:0)
5限定だとハードル高いわ
#Sun Enterprise 250ならある
Re: (スコア:0)
ウチにもUltra10ならあるけど5は無いわ。
その10も多分NVRAMがすっ飛んでる。
Re: (スコア:0)
QZSSやGPS信号を受信するAll in one型受信機 [akizukidenshi.com]は秋葉原にも売っているので、「誰もが数台持っている無印Raspberry Pi」のTX/RX/5V/GNDに繋げば、若い人でもStratum1を構築できます。1PPSはどっかのGPIOに。何よりSun ULTRA5より速いです。
もちろん「誰もが持っているCobalt Cube」でも問題ありません。(ディストリビューションによっては駄目かも)
Re:Stratum1作ろうにも (スコア:1)
鉄筋コンクリートな自宅だと、JJYで校正する電波時計はかなり置き場所を選ばないと電波をつかまない一方で、スマホは割とどこにおいてもGPSつかんでいるっぽいんだけど、LFよりUHFの方が届きやすかったりするものなのでしょうか?
Re:Stratum1作ろうにも (スコア:1)
# 年に数センチくらい
Re:Stratum1作ろうにも (スコア:1)
> 膨大なトラヒックに襲われて光回線が通じなくなったため、諦めた
私もそのクチですね。
10年ぐらい前のスラドのストーリー [srad.jp]で思い立って、自宅サーバをpool.ntp.org に登録。
時刻源はたしか当時は mfeed を使ってたので Stratum 3 かな。その後 nict に変えたので Stratum 2。
その後の数年は特に問題なかったのですが、2011年ごろから、たまに「リクエストが100kbpsぐらいに対し応答が10Mbpsぐらいになる」ようなDoSっぽい攻撃が来る [srad.jp]ようになりました。これは、手作業で気づいたらブロックする、というのを繰り返すことでなんとか対応。
ところが、2013年頃からは、比較的カジュアルな感じで「時々『同じホストから秒数回レベルのクエリが来る』状況がしばらく続く」ってのが頻発するように。
そんなに長い時間続くわけでもなく、たいした負荷ではないのですが、ルーターのNATテーブルが負けました。
(固定IPアドレスなのでNATは要らないはずなのですが、ルーターがスタティックNATでもテーブル消費する仕様だったみたいで、しかもNTPはステートレス(UDP)で通信終了が検出できないので、NTPのリクエストがくるたびに一定時間NATテーブルエントリを1個消費するという…)
もはや小手先で対応できるものじゃなくなったので、poolはやめました。
Re:Stratum1作ろうにも (スコア:1)
OSC2018 Osaka で,ラズパイでpool.ntp.org に参加していた時の事を少しばかり話した者です.
覚えていて頂いた方に感謝です.
ラズパイ NTP &個人光回線で pool.ntp.org に参戦していた頃,ログから観測できているもので 2373パケット/sがラズパイNTPに飛んできていたようですが,福岡大学さんのNTPサーバは 21万query/sとの事で,まさに桁違いです.
福岡大学さんの発表スライドにある,サービスのやめ方における想定は,本当にその通りだなと思います.
私の場合は何だかんだ言っても個人レベルですから,やめるのも容易いですが,とは言え始める時には終わりについての想定が必要と思います.
福岡大学さんのNTPサーバは古くからあり,個人でドメイン取得やサーバが建てられるようになり始めた1998年頃からお世話になりっぱなしでした.深く感謝しています.
今後,リクエストパケットはブラックホールに落として継続的に計測・分析されるようですが,出来ればその情報を公開頂けるなら,保守が充分に行き届いていないルータ,IoT機器の数がある程度でも分かる基礎情報になるかなと思っています.
なるべく近くのNTPサーバを使おう (スコア:5, 参考になる)
データセンターだけでなく、プロバイダやIX (インターネットエクスチェンジ)も無料のNTPサーバを提供していますし、
今日日わざわざ遠くのNTPサーバを使う意味は無いですよね。
NTPサーバ プロバイダ・機関別
http://wiki.nothing.sh/page/NTP/%A5%D7%A5%ED%A5%D0%A5%A4%A5%C0%A1%A6%B... [nothing.sh]
ちなみに、GoogleもNTPサーバを無料提供しています (Google Public NTP) [google.com] が、Google Public DNSと異なりサーバーが日本から遠いようです。
あと、Ubuntuの標準は*.ubuntu.pool.ntp.orgですが、こちらはサーバーによって日本から近かったり遠かったりな感じ。
Re:なるべく近くのNTPサーバを使おう (スコア:1)
IPv6対応のNTPサーバが少ないような…
Ring では駄目なのかな (スコア:1)
ntp.ring.gr.jp を基本的に使って来たけれど、駄目なのかな?
# 適切な枝が無いからココに返信を付ける
Re: (スコア:0)
mfeedのドメイン覚えづらすぎる
mfeed.jp持ってんだからntp.mfeed.jpで提供始めればいいのに
Re:なるべく近くのNTPサーバを使おう (スコア:1)
まさにその理由だけでntp.nict.jp [jjy.jp]使ってるなぁ
Re: (スコア:0)
ntp.mfeed.jpとか12文字も覚えられん
ntpの3文字にしろ
Re: (スコア:0)
もうDNSルートサーバみたいにAnyCastにでもしちゃえばいいんでないかい。UDPなんだし。誰かJANOGの重鎮がやるべきだって言えばなんとかならんのかのう?
Re:なるべく近くのNTPサーバを使おう (スコア:1)
pool.ntp.org のようなDNSロードバランシング環境で使ってる人もたくさんいるぐらいですから、anycastでもまあ大丈夫じゃないかな。
「各プロバイダがNTPサーバを提供」とかいったレベルで十分な数のanycast接続先があれば、そうそう接続先が変わることもないでしょうし。
#それよりも、「ルータはNTPサーバになって、自身のアドレスをDHCPで配る」ぐらいやって欲しい。LAN内の全端末が個別に遠く離れたNTPサーバにつなぎに行くだなんて、頭悪すぎる…
代わりにTP-LinkにNTPサーバー立ててもらおう (スコア:2, おもしろおかしい)
って言いたくなるんだよなぁ
Re:代わりにTP-LinkにNTPサーバー立ててもらおう (スコア:3)
https://www.twinfami.com/20171223_TP-LINK/ [twinfami.com]
Re:代わりにTP-LinkにNTPサーバー立ててもらおう (スコア:1)
疎通確認に有名サイトにPingを打ってないものだけが、TP-Linkに石を投げなさい。
Re: (スコア:0)
よっしゃ、投げるで!
Re: (スコア:0)
えっ 今日は全員投石機使っていいのか!!
Re: (スコア:0)
>えっ 今日は全員投石機使っていいのか!!
s/投石機/ping/
Re: (スコア:0)
TP-Linkの例と合わせるなら、疎通確認の為「継続的に」有名サイトにPingを打っていないものだけが、じゃないのかな。
初期設定時の単発は別に許される範囲だと思う
Re: (スコア:0)
てゆうか、インターネットへの通信確認をするためだけのサーバーってのをどこか
公的な団体が用意してやればいいんじゃない?
Windows がネットワーク確認するためだけに Microsoft (実体はAkamai)に接続する
のだって嫌な人はいるはず。
Re:代わりにTP-LinkにNTPサーバー立ててもらおう (スコア:1)
困ったちゃんメーカー「そうだ!毎秒100回ぐらいルートサーバにつなぎに行こう!!」
Re:代わりにTP-LinkにNTPサーバー立ててもらおう (スコア:1)
>てゆうか、インターネットへの通信確認をするためだけのサーバーってのをどこか
>公的な団体が用意してやればいいんじゃない?
そしてそこに税金が投入されると、インターネットを使わない勢力から突き上げが出たりして。
その次はネットインフラ利用について税金が掛けられるようになって・・・
Re: (スコア:0)
example.com [wikipedia.org]じゃダメですか?
Re: (スコア:0)
それって今現在はHTTPサーバーが動いてるけど「例示用に予約されている」以外、接続可能であるとか名前解決可能であるとかの保証何にもないよね?
あと、これはそこの運用がクソなだけなんだがexample.comに127.0.0.1って返してくるキャッシュDNSサーバーが実在する
Re: (スコア:0)
「ユーザを騙して繋がっていると思い込ませたい」という奴が出てきて無意味になる恐れがあるから
ある程度ベンダの好きにでき回線提供者に対策されない方法である必要がどうしてもある程度ある
桜時計と福岡大学NTPサーバ (スコア:2)
未だにNTPの仕組みを勉強してなかったり。なんで時間合わせ出来るんだろう。
保証される精度はPingの反応桁程度なのかな。福岡大の元の時計は何に合わせてたんだろう。
昔の12時と19時前のNHKの時計は原子時計でしたが。
NTPもstratumって階層構造持ってるんだから、DHCPで配ればよかったのに。
time.windows.comの負荷が気になる所。エニィキャストかな。
#聞いた噂ですが、デイトレードの偉い人が、
#「売買は秒単位ですから!」とか言って、
#カモに自前の時間を何秒か遅らせたNTPサーバを設定させゲフンゲフン
Re:桜時計と福岡大学NTPサーバ (スコア:4, 参考になる)
> NTPの仕組み
ものすごくざっくりと説明するなら、「パケットの往復時間を測って、その半分を遅延時間とみなす」「サーバーからの応答パケットに記載の時刻(=パケット送信時点の時刻)に遅延時間を足したものを受信時点での時刻とする」というものです。
NTPのリクエストパケットには、クライアント側の時刻を入れるフィールドがあり、サーバ側はそのデータをそのまま送り返しますので、応答を受け取った時に、その応答に埋め込まれた「送信時のクライアント時刻」と「応答を受け取ったクライアント時刻」を引くことで、往復時間がわかります。
そういうしくみですので、「ping数値のばらつき」程度の精度が出るということになります。
pingがたとえ1000msオーダーでも、下一桁までばらつきが無ければmsの精度が出せますが、
pingが10ms~100msでばらつくような環境だと、100msレベルの精度しか出ないってことで。
あと、通信経路が非対称だとダメですね。今はもう絶滅種ですが、衛星インターネット(下りは衛星経由だけど、上りは電話回線)みたいなのだとどうしようもない。
Re:桜時計と福岡大学NTPサーバ (スコア:2)
デイトレードの売買が秒単位だとして、時刻がずれた時計使ってたら何なのかわからないです
・今のデータを取得
・データを元に売買
これに必要なのは処理の速さであって絶対時刻の精度なんか関係なくないですかね
デイトレードの常識を知らないですが、売買開始時刻に突入とかするもんなのかな?
Re:桜時計と福岡大学NTPサーバ (スコア:1)
電波時計じゃあかんの?と思って「ntp 電波時計」でググってみたら、逆にntpで時間取得して電波飛ばすのばかりだった。
http://ascii.jp/elem/000/001/188/1188752/ [ascii.jp]
どうせなら (スコア:0)
21万query/sもあるなら、これを活かして海外商用ISPとピアリング交渉しちゃえば良いのに…と思った。
# …それとも、もうして断られてたりするのかな?
Re:どうせなら (スコア:1)
そうか、こいつをみてくれどう思う?
NTTCOM http://www.ntt.com/business/services/network/internet-connect/ocn-busi... [ntt.com]
IIJ https://www.iij.ad.jp/company/backbone/ [iij.ad.jp]
KDDI http://www.kddi.com/business/network/internet/internet-gateway/domestic/ [kddi.com]
アルテリア https://www.arteria-net.com/business/feature/ [arteria-net.com]
SINET https://www.sinet.ad.jp/aboutsinet [sinet.ad.jp]
すごく、辺境です…
スパイウェアの嫌疑をかけられているのに受け取るの? (スコア:0, オフトピック)
スパイウェアの嫌疑をかけられているのに受け取るの?
というのがあって、ちょっとよくわからない。
問題と解決策の間に齟齬がある。
まぁいいけど。
Re:スパイウェアの嫌疑をかけられているのに受け取るの? (スコア:1)
詳細はスライドで説明されていますから、大雑把に言うと受け取らないっていうのはできないんですよ。
できるのは受け取って答えずに捨てるだけ。受け取って捨てるだけでも受け取る分の帯域は消費するから
簡単にはやめれられなくて困ってるんです。
そして2018年4月以降にやめるための技術的検証を開始というのが当該発表の内容です。
余計なことすんなってことか (スコア:0)
善意で他人になんかしてやるとそれが当たり前になって
それを止めるのにこんな苦労せにゃならん。
2chやsrad (スコア:0)
発表スライドとやらに2ch.netやsrad.jp [srad.jp]が普通に載ってるのはちょっと笑った。
別に学術的な何かでもないもんね。
福岡大学の人もここ見てるのね。
そしてsradのコメント [srad.jp]だけど最初に見た時もいかにも中の人っぽくて無責任だなぁとは思ったけれど。
まぁ金盾的な事情は理解はできるけど、中国共産党のとばっちりだし。
時代が進むにつれNTPの負荷なんて無視できるようになると思ったけどそうはいかない物なのね。
いってもしょぼい環境でそれなりに対処できているようではあるけれど。
Re: (スコア:0)
当時のことを覚えてない人のために付け加えておくと、wikipediaでtp-linkの記事しか編集してないアカウントと同じ名前で、隠すつもりもなく中の人でしょうし、真偽不明な点を度外視すれば、非常に参考になる意見であることは間違いないですよ。
積極的に間違った情報返せば (スコア:0)
滅茶苦茶な時刻を返せば急激にトラフィック減るんじゃないの
Re:積極的に間違った情報返せば (スコア:1)
Re:積極的に間違った情報返せば (スコア:1)
適当なallowかdenyでドメイン指定で相手を限定して、それ以外のリクエストはスルーとかでだめすかね。
ダメだから辞めたんだろうけど。
Re:積極的に間違った情報返せば (スコア:1)
stratumを16にしてみるとか
Re: (スコア:0)
疎通確認にも使われていて、単に弾くだけではだめだということだから「あなたは繋がっていません」って返さないとな。
Re:積極的に間違った情報返せば (スコア:3, 興味深い)
なるほど、本回線でやったら意味ないので、分けてこれ用の回線をひいてNTPサーバの/32経路をそちらにするのかな。
データ取るみたいだから、攻撃(トラフィック)がどれくらいになってどう推移するか、ってのはかなり興味深い研究になりそう。
役目を終えてなお世の中の役にたつのなら素晴らしい。
Re:積極的に間違った情報返せば (スコア:3, 参考になる)
中の人の一人です。その通りです!
Re:積極的に間違った情報返せば (スコア:1)
BGPでやる場合、物理的にたくさんの場所でブラックホールを実現可能である
ネットギアのウィスコンシン大学NTPサーバ攻撃事件への対応時のレポートのFigure11を見ろ
http://pages.cs.wisc.edu/~plonka/netgear-sntp/ [wisc.edu]