<html><head><meta http-equiv="Content-Type" content="text/html charset=gb2312"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Interesting! I have no idea in this regard , but there is no such discussion or document in RSSAC or SSAC on NTP attack, as far as I know. <div class=""><br class=""><div><blockquote type="cite" class=""><div class="">在 2015年10月23日,15:13,Stephane Bortzmeyer <<a href="mailto:bortzmeyer@nic.fr" class="">bortzmeyer@nic.fr</a>> 写道:</div><br class="Apple-interchange-newline"><div class="">I was reviewing the security of the Dahu machines in the light of the<br class="">NTP Back to the Future attack<br class=""><<a href="http://www.cs.bu.edu/~goldbe/NTPattack.html" class="">http://www.cs.bu.edu/~goldbe/NTPattack.html</a>>, specially since their<br class="">paper often mentions DNS.<br class=""><br class="">Am I right in saying that the offset of the clock is not very<br class="">important for an authoritative name server (besides sysadmin issues<br class="">like having exploitable logs)? An authoritative DNS server (unlike a<br class="">validating resolver, or a signer) does not care about the time, no?<br class=""><br class="">Four of the Yeti root name servers reply to NTP queries and three of<br class="">them give a complete reply.<br class=""><br class="">% for server in $(dig +short +nodnssec @<a href="http://dahu1.yeti.eu.org" class="">dahu1.yeti.eu.org</a> NS .); do<br class="">   printf "%s: " $server; /usr/lib/monitoring-plugins/check_ntp_time  -H $server<br class="">done<br class=""><a href="http://bii.dns-lab.net" class="">bii.dns-lab.net</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://yeti.bofh.priv.at" class="">yeti.bofh.priv.at</a>.: NTP CRITICAL: No response from NTP server<br class="">yeti.ipv6.ernet.in.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://yeti.aquaray.com" class="">yeti.aquaray.com</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://dahu1.yeti.eu.org" class="">dahu1.yeti.eu.org</a>.: NTP CRITICAL: Offset unknown|<br class=""><a href="http://dahu2.yeti.eu.org" class="">dahu2.yeti.eu.org</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://ns-yeti.bondis.org" class="">ns-yeti.bondis.org</a>.: NTP OK: Offset -0.04610881209 secs|offset=-0.046109s;60.000000;120.000000;<br class=""><a href="http://yeti-ns.ix.ru" class="">yeti-ns.ix.ru</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://yeti-ns.tisf.net" class="">yeti-ns.tisf.net</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://yeti-ns.wide.ad.jp" class="">yeti-ns.wide.ad.jp</a>.: NTP OK: Offset 0.004776269197 secs|offset=0.004776s;60.000000;120.000000;<br class=""><a href="http://yeti-ns.conit.co" class="">yeti-ns.conit.co</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://yeti-ns.as59715.net" class="">yeti-ns.as59715.net</a>.: NTP CRITICAL: No response from NTP server<br class=""><a href="http://yeti-dns01.dnsworkshop.org" class="">yeti-dns01.dnsworkshop.org</a>.: NTP OK: Offset -0.001009911299 secs|offset=-0.001010s;60.000000;120.000000;<br class=""><a href="http://yeti-ns.switch.ch" class="">yeti-ns.switch.ch</a>.: NTP CRITICAL: No response from NTP server<br class="">_______________________________________________<br class="">discuss mailing list<br class=""><a href="mailto:discuss@lists.yeti-dns.org" class="">discuss@lists.yeti-dns.org</a><br class="">http://lists.yeti-dns.org/mailman/listinfo/discuss<br class=""></div></blockquote></div><br class=""><div apple-content-edited="true" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">---------------------------</div><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Davey Song(宋林健)<br class="">BII Lab<br class=""><a href="mailto:ljsong@biigroup.cn" class="">ljsong@biigroup.cn</a><br class=""><br class=""><br class=""></div></div>
</div>
<br class=""></div></body></html>