den 25 april 2006 av Thomas Nilsson
Ett stort antal av världens referensklockor på nätet står under
en ständig och aldrig avtagande belastningsattack. Den utförs
dygnet runt av inte ont anande konsumenter. Likheten med ett
gigantiskt "botnet" är slående.
Det hela handlar om att D-Link har försett flertalet av sina
routrar, brandväggar och accesspunkter med en hårdkodad lista med
adresser till ett 50-tal Stratum 1 NTP-servrar. Återkommande
skickar de en NTP-fråga slumpvis till någon av servrarna i listan.
Besvaras inte frågan, som dessutom ställs med en uråldrig version
av protokollet, så väljs en ny server i listan. Problemet är att
många servrar inte svarar på förfrågningar med den uråldriga
versionen av protokollet. Detta resulterar i att flertalet frågor
förblir obesvarade varvid lasten ökar ytterligare. Mätningar som
gjorts på Stratum 1 NTP-servern i Danmark visar att
D-Linkutrustning står för upp till 90% av alla förfrågningar.
Att D-Link har valt att använda stratum 1 NTP-servrar är
allvarligt. Förenklat är dessa synkroniserade direkt till en källa
för UTC och är att betrakta som primära källor för tid. De är högst
upp i NTP-hierarkin och är en referens för övriga NTP-servrar i
hierarkin. Dessa är absolut inte tänkta att användas som en direkt
tidskälla för ändutrustning utan dessa hänvisas till NTP-servrar
med lägre stratum-nivå. Att D-Link använder dessa referensklockor
för att synkronisera tid är inte bara ett brott mot flertalet av de
NTP-policys som upprättats, det är också misshushållning av
resurser och inte minst äventyrar de driften av dessa viktiga
referensklockor.
Netgear gjorde en liknande fadäs våren 2003 där man hårdkodat
adressen till NTP-servern på universitetet i Wisconsin i sina
konsumentroutrar. Det drabbade visserligen bara en part, men å
andra sidan fick universitetet lägga ner sin verksamhet en tid.
Netgear förstod ganska snart sitt misstag, rättade till det samt
bidrog dessutom med medel till universitetet som plåster på såren.
D-Link har inte lärt sig av Netgears misstag. Trots massiv kritik
under våren har de ignorerat den belastningsattack de är orsak
till. I förra veckan kom en första kommentar där de nu lovar att
inom kort ge besked hur de kommer att agera.
Detta problem har flera dimensioner. Den som utsätts för en attack
likt denna har svårt att värja sig. Att neka trafik innebär
dessvärre att trafiken ökar. Trafiken måste blockeras så nära
källan det bara är möjligt för att ge effekt, vilket är svårt när
det rör sig om miljontals olika källor. Även om D-Link tar sitt
förnuft till fånga och korrigerar sitt misstag så tar det mycket
lång tid innan programvaran i de aktuella utrustningarna
uppdaterats. Konsumentledet är inte direkt känt för att uppdatera
programvara i nätutrustningen och med tanke på den installerade
volymen så kommer denna attack att pågå under mycket lång tid.
Detta är dock ingen ursäkt för att tillverkaren inte skyndsamt
skall rätta till denna allvarliga fadäs. Det du som D-Linkägare kan
göra redan nu för att inte delta i den distribuerade
belastningsattacken är att se till att du specificerar en
NTP-server.
© 2006 Thomas Nilsson, Certezza AB
