richliu’s blog

這件事是有一個 NTP Server administrator 發現他的 Server 被攻擊, 然後 log 下所有的封包(每秒 37 個, NNTPv1 的). 進而追蹤的故事.
這些封包來自不同的地方, 而且都是非假造的 Packet, 數量之多, 範圍之大, 前所未見
這個 Administrator 追了很久,
原來是 DLink在他們的 Device 內植入一個 NTP Server 的列表, 會自動偵測 NTP Server 是不是 Live, 如果是, 會選擇一個 NTP Server 做為對時使用.
D-Link 賣出產品的數量應該不在少數, 如果這樣搞的話, 有多少 NTP Server Administrator 受得了, 一年應該有千萬台這樣的產品推出, 要是每個人都這樣搞, 再多的 NTP Server 都不夠用吧(想想看大家都去 root DNS 查詢的慘況, [...]

[Read more →]