使用Wireshark分析NTP數(shù)據(jù)包

NTP(Network Time Protocol，網(wǎng)絡(luò)時(shí)間協(xié)議)用來在分布式時(shí)間服務(wù)器和客戶端之間進(jìn)行時(shí)間同步。NTP基于UDP報(bào)文進(jìn)行傳輸，使用的UDP端口號(hào)為123。使用NTP的主要目的是對(duì)網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種應(yīng)用。對(duì)于網(wǎng)絡(luò)中的各臺(tái)設(shè)備來說，時(shí)間是很重要的，如果時(shí)間不準(zhǔn)則可能造成很大的影響，但是如果依靠管理員手工輸入命令來修改系統(tǒng)時(shí)鐘是不可能的，不但工作量巨大，而且也不能保證時(shí)鐘的精確性。通過NTP，可以很快將網(wǎng)絡(luò)中設(shè)備的時(shí)鐘進(jìn)行同步，同時(shí)也能保證很高的精度。

如果局域網(wǎng)內(nèi)設(shè)備可以訪問到互聯(lián)網(wǎng)需要手工同步時(shí)間，可以選用此網(wǎng)站的免費(fèi)時(shí)間服務(wù)器進(jìn)行同步http://www.ntp.org.cn/pool.php。

NTP服務(wù)器搭建

局域網(wǎng)內(nèi)的很多設(shè)備是不能夠訪問到互聯(lián)網(wǎng)的，所以在局域網(wǎng)內(nèi)搭建一臺(tái)時(shí)間服務(wù)是很有必要。這臺(tái)NTP服務(wù)器首先與互聯(lián)網(wǎng)的時(shí)間服務(wù)器進(jìn)行同步，然后局域網(wǎng)內(nèi)的設(shè)備與這臺(tái)NTP服務(wù)器進(jìn)行同步。

1.查看本機(jī)系統(tǒng)版本。

# cat /etc/redhat-releaseCentOS Linux release 7.7.1908 (Core)

2.安裝NTP服務(wù)端軟件包。

# yum -y install ntp

3.修改NTP配置文件。默認(rèn)已經(jīng)配置CentOS的官方時(shí)間服務(wù)器作為上游NTP服務(wù)器，你也可以配置其他NTP服務(wù)器進(jìn)行同步。

vi /etc/ntp.conf

4.啟動(dòng)NTP服務(wù)器并設(shè)置開機(jī)自啟動(dòng)。

# systemctl start ntpd# systemctl enable ntpd

5.查看NTP是否同步。

ntpq -p

• remote：響應(yīng)這個(gè)請(qǐng)求的 NTP 服務(wù)器的名稱。

• refid：NTP 服務(wù)器使用的上一級(jí) NTP 服務(wù)器。

• st：remote 遠(yuǎn)程服務(wù)器的級(jí)別。服務(wù)器從高到低級(jí)別設(shè)定為1 - 16。

• t ：u: unicast(單播), b: broadcast(廣播), l: local(本地時(shí)鐘)。

• when：上一次成功請(qǐng)求之后到現(xiàn)在的秒數(shù)。

• poll：本地機(jī)和遠(yuǎn)程服務(wù)器多少時(shí)間進(jìn)行一次同步(單位為秒)。

• reach：八進(jìn)制值，用來測(cè)試能否和服務(wù)器連接。每成功連接一次，reach 的值將會(huì)增加。

• delay：從本地機(jī)發(fā)送同步要求到 NTP 服務(wù)器的 round trip time。

• offset：主機(jī)通過 NTP 時(shí)鐘同步與所同步時(shí)間源的時(shí)間偏移量，單位為毫秒(ms)。offset 越接近于0，主機(jī)和 NTP 服務(wù)器的時(shí)間越接近。

• jitter：用來做統(tǒng)計(jì)的值。統(tǒng)計(jì)在特定連續(xù)的連接數(shù)里 offset 的分布情況。即 jitter 數(shù)值的絕對(duì)值越小，主機(jī)的時(shí)間就越精確。

6.防火墻開放ntp服務(wù)或者直接關(guān)閉防火墻。

firewall-cmd --add-service=ntp --permanent

firewall-cmd --reload

7.客戶端時(shí)間同步。

linux系統(tǒng)時(shí)間同步

ntpdate 192.168.52.100

windows系統(tǒng)時(shí)間同步

思科網(wǎng)絡(luò)設(shè)備時(shí)間同步配置

ntp server 192.168.52.100

Wireshark抓取NTP數(shù)據(jù)包

有同學(xué)學(xué)習(xí)我的《Wireshark數(shù)據(jù)包分析》專欄課程，可以使用Wireshark抓取一下NTP數(shù)據(jù)包看看。可以看到NTP數(shù)據(jù)包交互很簡(jiǎn)單，這是一次一去一回同步時(shí)間的完整數(shù)據(jù)過程。

客戶端首先向NTP服務(wù)器發(fā)送請(qǐng)求，可以看到NTP使用UDP協(xié)議，端口是123。并且該報(bào)文帶有它離開時(shí)的時(shí)間戳。

當(dāng)此NTP請(qǐng)求報(bào)文到達(dá) NTP服務(wù)器時(shí)，服務(wù)端加上自己的時(shí)間戳向客戶端響應(yīng)請(qǐng)求。當(dāng)客戶端收到這個(gè)響應(yīng)報(bào)文后，就能夠根據(jù)這些信息來設(shè)定自己的時(shí)鐘，使之與 NTP服務(wù)器的時(shí)鐘進(jìn)行同步。

NTP數(shù)據(jù)包在時(shí)間同步的時(shí)候才會(huì)產(chǎn)生，這種數(shù)據(jù)不會(huì)很頻繁出現(xiàn)，如果頻繁出現(xiàn)的話，有可能是感染上木馬被人利用了，比如NTP Reply洪水攻擊，這種時(shí)候就要需要特別注意了。

來源：https://blog.csdn.net/weixin_36416921/article/details/113071691

                              ????????????????  END  ????????????????

推薦閱讀

【1】jetson nano開發(fā)使用的基礎(chǔ)詳細(xì)分享

【2】Linux開發(fā)coredump文件分析實(shí)戰(zhàn)分享

【3】CPU中的程序是怎么運(yùn)行起來的 必讀

【4】cartographer環(huán)境建立以及建圖測(cè)試

【5】設(shè)計(jì)模式之簡(jiǎn)單工廠模式、工廠模式、抽象工廠模式的對(duì)比

【羽林君】本公眾號(hào)全部原創(chuàng)干貨已整理成一個(gè)目錄，回復(fù)[ 資源 ]即可獲得。