西安同步徽标.png

西安同步电子科技有限公司
   Xi'an Synchronization of Electronic Technology Co., Ltd.
销售热线
029-88606468
搜索
全球领先的时间频率同步系统供应商
Linux系统时间同步详细介绍
Linux 上搭建公共时间服务器解决方案
 二维码 831
发表时间:2018-03-27 17:28来源:西安同步原创

最重要的公共服务之一就是报时timekeeping,但是很多人并没有意识到这一点。大多数公共时间服务器都是由志愿者管理,以满足不断增长的需求。这里学习一下如何运行你自己的时间服务器,为基础公共利益做贡献。

著名的时间服务器滥用事件

就像现实生活中任何一件事情一样,即便是像时间服务器这样的公益项目,?#19981;?#36973;受不称职的或者恶意的滥用。

消费类网络设备的供应商因制造了大混乱而臭名昭著。?#19968;?#24819;起的第一件事发生在 2003 年,那时,NetGear 在它们的路由器中硬编码了威斯康星大学的 NTP 时间服务器地址。使得时间服务器的查询请求突然增加,随着 NetGear 卖出越来越多的路由器,这种情况越发严重。更有意思的是,路由器的程序设置是每秒钟发送一次请求,这将使服务器难堪重负。后来 Netgear 发布了升级固件,但是,升级他们的设备的?#27809;?#24456;少,并且他们的其中一些?#27809;?#30340;设备,到今天为止,还在不停地每秒钟查询一次威斯康星大学的 NTP 服务器。Netgear 给威斯康星大学捐献了一些钱,以帮助弥补他们带来的成本增加,直到这些路由器全部淘汰。类似的事件还有 D-Link、Snapchat、TP-Link 等等。

对 NTP 协议进行反射和放大,已经成为发起 DDoS 攻击的一个选择。当攻击者使用一个伪造的目标受害者的源地址向时间服务器发送请求,称为反射攻击?#36824;?#20987;者发送请求到多个服务器,这些服务器将回复请求,这样就使伪造的源地址受到轰炸。放大攻击是指一个很小的请求收到大量的回复信息。例如,在 Linux 上,ntpq 命令是一个查询你的 NTP 服务器并验证它们的系统时间是否正确的很有用的工具。一些回复,比如,对端列表,是?#27973;?#22823;的。组合使用反射和放大,攻击者可以将 10 倍甚至更多带宽的数据量发送到?#36824;?#20987;者。

那么,如何保护提供公益服务的公共 NTP 服务器呢?#30475;?#20351;用 NTP 4.2.7p26 或者更新的版本开始,它们可以帮助你的 Linux 发行版不会发生前面所说的这种问题,因为它们都是在 2010 年以后发布的。这个发行版都默认禁用了最常见的滥用攻击。目前,最新版本是 4.2.8p10,它发布于 2017 年。

你可以采用的另一个措施是,在你的网络上启用入站?#32479;?#31449;过滤器。阻塞宣称来自你的网络的数据包进入你的网络,以及拦截发送到伪造返回地址的出站数据包。入站过滤器可以帮助你,而出站过滤器则帮助你和其他人。阅读 BCP38.info 了解更多信息。

层级为 0、1、2 的时间服务器

NTP 有超过 30 年的历史了,它是至今还在使用的最老的因特网协议之一。它的用途是保持计算机与世界标准时间(UTC)的同步。NTP 网络是分层组织的,并且同层的设备是对等的。层次Stratum 0 包含主报时设备,比如,原子钟。层级 1 的时间服务器与层级 0 的设备同步。层级 2 的设备与层级 1 的设备同步,层级 3 的设备与层级 2 的设备同步。NTP 协议支持 16 个层级,现实中并没有使用那么多的层级。同一个层级的服务器是相互对等的。

过去很长一段时间内,我们都为?#31361;Ф搜?#25321;配置单一的 NTP 服务器,而现在更好的做法是使用 NTP 服务器地址池,它使用轮询的 DNS 信息去共享负载。池地?#20998;?#26159;为?#31361;?#31471;服务的,比如单一的 PC 和你的本地局域网 NTP 服务器。当你运行一台自己的公共服务器时,你不用使用这些池地址。

NTP服务器工作原理.png

公共 NTP 服务器配置

运行一台公共 NTP 服务器只有两步:设置你的服务器,然后申请加入到 NTP 服务器池。运行一台公共的 NTP 服务器是一种很高尚的行为,但是你得先知道这意味着什?#30784;?#21152;入 NTP 服务器池是一种长期责任,因为即使你加入服务器池后,运行了很短的时间马上退出,然后接下来的很多年你仍然会接收到请求。

你需要一个静态的公共 IP 地址,一个至少 512Kb/s 带宽的、可靠的、?#24535;?#30340;因特网连接。NTP 使用的是 UDP 的 123 端口。它对机器本身要求并不高,很多管理员在其它的面向公共的服务器(比如,Web 服务器)上顺带架设了 NTP 服务。

配置一台公共的 NTP 服务器与配置一台用于局域网的 NTP 服务器是一样的,只需要几个配置。我们从阅读 协议规则 开始。遵守规则并注意你的行为;?#36127;?#27599;个时间服务器的维护者都是像你这样的志愿者。然后,从 StratumTwoTimeServers 中选择 4 到 7 个层级 2 的上游服务器。选择的时候,选取地理位置上靠近(小于 300 英里的)你的因特网服务提供商的上游服务器,阅?#20102;?#20204;的访?#20351;?#21017;,然后,使用 ping 和 mtr 去找到延迟和跳数最小的服务器。

以下的 /etc/ntp.conf 配置示例文件,包括了 IPv4 和 IPv6,以及基本的安全防护:

# stratum 2 server list

server servername_1 iburst

server servername_2 iburst

server servername_3 iburst

server servername_4 iburst

server servername_5 iburst

# access restrictions

restrict -4default kod noquery nomodify notrap nopeer limited

restrict -6default kod noquery nomodify notrap nopeer limited

#Allow ntpq and ntpdc queries only from localhost

restrict 127.0.0.1

restrict ::1

启动你的 NTP 服务器,让它运行几分钟,然后测?#36816;?#23545;远程服务器的查询:

$ ntpq -p

remote refid st t when poll reach delay offset jitter

=================================================================

+tock.no-such-ag 200.98.196.2122 u 3664798.65488.43965.123

+PBX.cytranet.ne 45.33.84.2083 u 3764772.419113.535129.313

*eterna.binary.n 199.102.46.702 u 3964792.93398.47556.778

+time.mclarkdev.132.236.56.2503 u 37645111.05988.02974.919

目前表现很好。现在从另一台 PC 上使用你的 NTP 服务器名字进行测试。以下的示例是一个正确的输出。如果有不正确的地方,你将看到一些错误信息。

$ ntpdate -q yourservername

server 66.96.99.10, stratum 2, offset 0.017690, delay 0.12794

server 98.191.213.2, stratum 1, offset 0.014798, delay 0.22887

server 173.49.198.27, stratum 2, offset 0.020665, delay 0.15012

server 129.6.15.28, stratum 1, offset -0.018846, delay 0.20966

26Jan11:13:54 ntpdate[17293]: adjust time server 98.191.213.2 offset 0.014798 sec

目前西安同步电子科技有限公司为大家免费提供授时服务,其中时间服务器采用我公司专用的时间同步服务器,授时精度比一般的服务器高很多,可靠性也要好很多,建议一般使用专用服务器保证时间的可靠性。

在线客服
 
 
 工作时间
周一至周五 :8:30-17:30
 联系方式
电话/传真1:029-88606468
电话/传真2:029-88216736
移动网站:m.syn029.com