[GTER] [ims at on.br: ntp.on.br: um ano de atraso]
Frederico A C Neves
fneves at registro.br
Fri Jan 23 09:21:52 -02 2004
Senhores,
Repasso mensagem envia pelo ON que não chegou a lista. O RTF está
convertido para txt em anexo. Os logs foram suprimidos devido ao
tamanho.
Fred
-------------- next part --------------
INTRODUÇÃO
Coincidência ou não, hoje meu primeiro dia de férias, um dos nossos
servidores de sincronismo que atende ao público em geral, aberto para todos,
no endereço 200.20.186.75, foi "atacado", e de alguma forma o ano foi alterado.
Esta máquina é dedicada, rodando o NTP v4, com Red Hat Linux 7.1 2.96-79
#1 Sun Apr 8 20:41:30 EDT 2001
Este endereço do ON corresponde ao ntp.on.br
CONSTATAÇÃO
Ainda hoje pela manhã tentei entrar em contato com os responsáveis pelo IP
que supostamente causou tal problema, 200.186.217.130
Este endereço corresponde à "imp130.pbh.gov.br", e aparece acessando o
servidor cerca de 20 a 40 vezes por segundo, conforme registrado no log
do ipchains.
EVIDÊNCIA
Anexei a este email um o arquivo de log "messages18_22.txt", gerado pelo ipchains rodando no
200.20.186.75, aonde se pode constatar o acesso anormal desde o dia 18, quando naquela data
já haviamos reinicializado o sincronizador em 200.20.186.75.
Hoje de manhã ele foi reinicializado novamente e o ano que consta no log está correto.
Neste log as hora estão em UTC.
No dia 18 quando constatamos o problema fizemos uma regra no ipchains, mas aparentemente
não resolveu. Naquela data ele foi reinicializado da mesma forma que hoje sem problemas.
AÇÃO
De casa mesmo, pela manhã, liguei para a Prefeitura de Belo Horizonte e tentei falar com o responsável.
Não consegui, e a maratona pelo telefone foi a seguinte:
Assessoria de Comunicação PRODABEL Av. Presidente Carlos Luz, 1275 - Caiçara
Por volta das 11:30 da manhã
31 3277-8346 - Sra. Raquel que informou que o Sr.Marcio Freire e o Sr. Paulo Guedes
estavam em reunião. Ensisti e ele me passou para o Sr. Tiago que apos ouvir eu repetir de novo
o que já havia falado para a Sra. Raquel, pediu tambem que eu falasse
com o Sr. Marcio Freire, no 31 3277-8407, para onde eu liguei e fui informado novamente
que ele continuava em reunião.
Enfim não consegui nada.
O servidor foi reinicializado agora à noite, 23:00, com sucesso.
CRÍTICA E ELOGIO
Cabe ressaltar que o atendimento a reclamações de ataques ou supostos ataques não é bom.
Até hoje a única resposta à este tipo de reclamação que volta e meio fazemos a diversos locais
foi por parte da Sra. Marita Maestrelli. Foi um ótimo atendimento.
COMITE GESTOR
Conforme observado pelo Sr. Frederico A C Neves, do Registro.br, o servidor ntp.on.br
não tem nada a ver com o servidor implantado pelo CG.
O servidor do CG nunca teve este tipo de problema. É um equipamento especial, do
mesmo tipo utilizado pela ReSinc/HLB.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
///////////////// email do Sr. Frederico //////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Thu, 22 Jan 2004 14:29:34 -0200
De: Frederico A C Neves <fneves at registro.br>
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Cc: "dsh at on.br" <dsh at on.br>
Assunto: Re: [GTER] ntp.on.br: um ano de atraso
Senhores,
Atenção, esta não é a interface implantada pelo CG. O servidor NTP
implantado pelo CG é NTP.NIC.BR e tudo indica que o mesmo está
funcionando corretamente.
Fred
> ntpdate -q ntp.nic.br
server 200.20.186.93, stratum 1, offset 0.040378, delay 0.06709
22 Jan 14:17:40 ntpdate[3815]: adjust time server 200.20.186.93 offset
0.040378 sec
> ntpq -pn registro.br
remote refid st t when poll reach delay offset jitter
==============================================================================
127.127.1.0 127.127.1.0 1 0 l 25 64 377 0.000 0.000 0.001
*200.20.186.93 .IRIG. 1 u 501 1024 375 45.195 4.925 4.934
+143.108.22.7 200.20.186.93 2 u 552 1024 377 1.508 -1.420 2.365
+192.5.41.40 .USNO. 1 u 553 1024 377 233.029 24.877 1.563
-204.152.184.72 204.152.185.13 2 u 553 1024 377 206.681 -8.252 1.209
-143.108.30.3 10.0.0.7 3 u 520 1024 377 1.611 -5.987 0.771
200.135.0.3 200.19.119.69 2 u 331 1024 36 126.558 -40.519 15.309
On Wed, Jan 22, 2003 at 11:17:14AM -0200, Alexandre Hautequest wrote:
> Senhores,
>
> O relógio do ntp.on.br está com um ano de atraso.
>
> Aos que utilizam o serviço de ajuste de clock automático por este sítio,
> aguardemos ajuste dos servidores master.
>
> A mensagem está sendo postada também para o email de contato do
> Observatório Nacional.
>
> Aguardamos retorno.
>
> Cordialmente,
>
> root at hquest:~# date
> Thu Jan 22 11:10:55 BRST 2004
> root at hquest:~# ntpdate ntp.on.br
> 22 Jan 11:11:19 ntpdate[31093]: step time server 200.20.186.75 offset
> -31536000.012300 sec
> root at hquest:~# date
> Wed Jan 22 11:11:04 BRST 2003
>
> --
> Alexandre Hautequest
////////////////////////////////////////////////////////////////////////////////////////////////////////////////
/////////////// Fim do email do Sr. Frederico //////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////
RECOMENDAÇÃO
O servidor no endereço 200.20.186.75 é de uso geral, aberto ao público.
Desde sua implantação a cerca de tres anos atras, este foi o ataque mais
serio que ocorreu.
Uma solução seria fecha-lo e ir abrindo seletivamente, o que já foi feito anteriormente.
A questão é que quem não tem IP fixo fica sem acesso.
Aplicações mais críticas devem utilizar a ReSinc/HLB, que não está sujeita
a estes contratempos. Tal serviço utiliza equipamentos especias e o protocolo
ACTS.
Ivan M. Silva
DSH/ON
More information about the gter
mailing list