Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieën Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 101, views: 40.230 •
Bron: Poul-Henning Kamp, submitter: ValHallASW

Poul-Henning Kamp, FreeBSD-ontwikkelaar en tevens beheerder van een Deense NTP-server is behoorlijk kwaad op D-Link, omdat dit bedrijf ongevraagd gebruikmaakt van zijn diensten. In de firmware van zijn routers verwijst D-Link naar de bewuste server (gps.dix.dk) om hun interne klok mee te synchroniseren. Gevolg: 75 tot 90% van het verkeer op die server (maar liefst 37 aanvragen per seconde) is afkomstig van wereldwijd verspreide D-Link routers, terwijl de eigenaar in zijn voorwaarden duidelijk stelt dat zijn server alleen door Denen gebruikt mag worden, en ook dat deze niet voor consumenten is bedoeld. Alleen met die restricties mocht hij de machine gratis neerzetten bij de Deense Internet Exchange (DIX).

De DIX is niet blij met het extra internationale verkeer en dreigt de stekker eruit te trekken als het aantal aanvragen zo hoog blijft. Het alternatief voor de eigenaar is om bijna 8000 euro per jaar te gaan betalen voor de hosting. Dat zijn echter niet de enige kosten waar Kamp mee zit: hij heeft al 5000 dollar betaald aan een expert om achter de verklaring voor het probleem te komen. Zelf bleek hij er weinig aan te kunnen doen: filteren van het verkeer was te moeilijk en het adres van de server veranderen is geen optie in verband met de geschatte 2000 'legale' gebruikers.

Kamp nam een advocaat in de arm en vroeg D-Link om een nieuwe firmware uit te brengen waarin zijn NTP-server niet meer opgenomen was. Ook eiste hij een schadevergoeding van ongeveer 32.000 euro om de gemaakte kosten te dekken. Dit alles speelde zich overigens af in november. D-Link heeft ondertussen wel stappen ondernomen om het probleem iets minder erg te maken: voor een aantal producten is een nieuwe firmware uitgebracht waarin de Deense server niet meer gebruikt wordt. Er waren halverwege maart echter nog minstens 25 producten die wél naar gps.dix.dk verwezen, plus de vele duizenden routers die al bij consumenten thuis staan, mensen die voor het grootste deel waarschijnlijk niet eens weten wat firmware is.

D-Link router

De juridische strijd en alle kosten die daarbij komen kijken is dan ook nog niet voorbij. D-Link weigert zijn excuses aan te bieden, maar heeft volgens Kamp wel voorgesteld om zwijggeld te betalen, en zou hem op een ander moment zelfs een afperser hebben genoemd. Met zijn open brief wil Kamp de aandacht trekken van de media en eindverantwoordelijken bij D-Link om extra schot in de zaak te brengen. Uit zijn logs maakt Kamp op dat minstens vijftig mensen van het bedrijf het verhaal al hebben gelezen, maar er is nog geen reactie gekomen.

Het lijkt er overigens op dat de Deense server niet de enige is die op deze manier misbruikt wordt: in de firmware van de routers zijn adressen van maar liefst vijftig 'stratum 1'-servers opgenomen. Het wereldwijde NTP-netwerk is opgedeeld in verschillende niveaus, waarvan stratum 1 de hoogste is, stratum 2 bedoeld voor providers, en consumenten alleen met stratum 3 of hoger te maken moeten hebben, hoewel in het publiek te gebruiken pool.ntp.org ook een aantal stratum 2-servers te vinden zijn. Het lijkt er echter op dat D-Link zijn routers zonder toestemming losgelaten heeft op alle bekende stratum 1-servers, wat in ieder geval een schending is van fatsoen en de gebruiksvoorwaarden van deze diensten. Of het ook daadwerkelijk illegaal is kan alleen een rechter besluiten, maar gezamenlijk staan de beheerders in ieder geval sterker.

NTP-netwerk met stratum-lagen

Reacties (101)

Reactiefilter:-1101099+180+221+36
Waarom zet D-Link dan niet zelf één of meerdere NTP-servers op? dan zijn ze van heel het probleem af. Of doe net als Thompson/Alcatel, gebruikers moeten zelf een NTP-server opgeven. Als een klant niet weet wat dat is laat hij het leeg en werkt de router nog wel zonder problemen.
Waarschijnlijk omdat D-link liever geld uitspaard en zo min mogelijk moeite wil doen om geld te verdienen. Als ze wat moeite hadden gedaan hadden ze op zn minst onderzoek gedaan naar wat wel openbare ntp servers zijn en aan de eiganaren bekend gemaakt dat ze een paar miljoen klanten er gebruik van willen laten maken.
Tja, ik denk dat alle fabrikanten die zich er eventjes in verdiepen gewoon pool.ntp.org ofzo gebruiken, dat zijn allemaal servers die je als consument gewoon kan gebruiken, en als de load te hoog wordt voegen ze gewoon een aantal servers extra toe.
Dit is eigenlijk nonsense. Als je je server niet publiek wil hebben dan moet ie niet op het net. Jammer Poul, maar information wants to be free. Hij noemt het vandalisme maar dat is het niet.
beetje kort door de bocht he? hiervoor zijn, zoals je onderaan het artikel ziet, structuren en voorwaarden voor, om het zo georganiseerd mogelijk te houden. dit is altijd binnen goed fatsoen gegaan. ik ga toch ook niet als ik bij dell een computer wil bestellen naar de CEO van Dell Nederland vragen? dit soort structuren zijn er om de hoeveelheid werk en serverload goed te verdelen en georganiseerd te houden, als een bedrijf als D-Link op vrij onbeschofte wijze misbruik van het feit dat dit altijd binnen de normen van goed fatsoen geregeld heeft kunnen worden, vind ik dat net zo kinderachtig als jouw statement.

held dat je er bent.
Woohoo... iedereen snel JamesWest's computer DDOS'en; het mag van hem!
Op http://www.cs.wisc.edu/%7Eplonka/netgear-sntp/ staat trouwens een interessant verhaal over een vergelijkbare situatie waarin Netgear betrokken was.
"Het lijkt erop dat D-Link zijn routers zonder toestemming losgelaten heeft op alle bekende stratum 1-servers, wat in ieder geval een schending is van fatsoen en de gebruiksvoorwaarden van deze diensten. Of het ook daadwerkelijk illegaal is kan alleen een rechter besluiten"

Het is niet alleen een rechter die kan bepalen of het illegaal is. Gelegenheid geeft geen recht op gebruik, zeker niet als de aanbieder duidelijke voorwaarden heeft opgesteld waar het wel en niet voor bedoeld is.
Het internet is daar geen verschil in. Je kan niet zomaar overal gebruik van maken omdat je er zin in hebt en maling hebt aan de wensen en eisen van de aanbieders.
Het is niet alleen een rechter die kan bepalen of het illegaal is
Jawel, Alleen een rechter kan bepalen of iets illegaal is of niet. Ik snap niet dat je voor dergelijke reactie een "inzichtvol" krijgt.

Ok, natuurlijk kun je aan je water aanvoelen dat als een rechthebbende geen toestemming voor gebruik van een bepaalde dienst geeft, dat dan het toch gebruiken van die dienst niet legaal is, maar het oordeel en het laatste woord daarover is aan een rechter. Niet aan mij, niet aan jou, niet aan de gebruiker, niet aan de rechthebbende, maar aan een rechter. Zo werkt het nu eenmaal in een rechtstaat.

Ik mag jou bijvoorbeeld ook het recht ontzeggen om op tweakers wat te typen. Maar of dat verbod rechtsgeldig is, bepaalt een rechter.
"Jawel, Alleen een rechter kan bepalen of iets illegaal is of niet. Ik snap niet dat je voor dergelijke reactie een "inzichtvol" krijgt."

wel grappig dat je "precies" niet eens weet waarover je praat. voordat je kodak bijna afschiet moet je je wel het volgende bedenken:
een rechter bepaakt NIET wat al dan niet legaal is: het is de wet die dat bepaalt en de rechter bepaalt alleen of de wet is nageleefd. dus de rechter is niets meer dan een controle van de wet.
De rechter is niet louter iemand die controleerd of het wel strookt met de wetten. De rechter vormt een eingen oordeel op basis van de wetten én zijn eigen inzicht, zie bv. de rijdende rechter.
Politici maken wetten, het is niet de bedoeling dat een rechter z'n eigen mening daarbij doet. Een rechter past de situatie alleen toe op de wetten. Justitia is niet voor niets blind..

Wat ik belangrijker vind is dat d-link schijnbaar zonder toestemming te vragen, iemand grote overlast heeft veroorzaakt. Dan lijkt het me niet meer dan normaal om dat even recht te zetten, en er een wijze les voor de toekomst uit te trekken.
Politici maken wetten, het is niet de bedoeling dat een rechter z'n eigen mening daarbij doet. Een rechter past de situatie alleen toe op de wetten. Justitia is niet voor niets blind..
Dat mag dan misschien in Nederland zo lijken, maar er zijn voldoende landen waar de wetgeving voor een belangrijk deel wordt gevormd door jurisprudentie. Groot Brittannië is een uitstekend voorbeeld. En zelfs in Nederland speelt jurisprudentie nog steeds een belangrijke rol als het gaat om zaken waarbij nog niets soortgelijks voor de rechter is geweest (of er sprake is van voortschrijdend inzicht).
Ze kunnen het bij de rechter op verschillende manieren proberen.
Manier 1: D-Link verkoopt producten die van onze dienst gebruik maken en verdient daar geld op dus wij willen een deel van de omzet en/of schadeloos stelling.
Manier 2: Als manier 1 niet lukt klagen we D-Link opnieuw aan maar dan als volgt: D-Link schrijft bewust software om een DDOS aanval op onze server(s) uit te voeren en verspreid deze in de firmware van de routers en accesspoints die zij verkopen.
Waarom gebruiken ze dan niet gewoon pool.ntp.org of iets dergelijks, of zetten ze zelf een aantal ntp-servers op?
Het suffe is dat die D-Link doosjes alleen de tijd van die NTP servers willen weten om hun logs nauwkeurig te kunnen timestampen... niemand die er verder ooit naar die logs kijkt natuurlijk.
Als je bijvoorbeeld naar het verhaal van NetGear kijkt, dan zie je dat het NetGear NTP verkeer best een hoop bandbreedte innam:

generally, the rate stays at a value over 250,000 packets-per-second (and over 150 megabits-per-second)
Nou zaten die ook om de seconde te packets te zenden zolang ze niet gesynched waren. Dat was dubbel fout.
Iets met lees de restricties:

Service Area: Networks BGP-announced on the DIX
Access Policy: open access to servers, please, no client use

Ik haat analogieen, maar vooruit: als ik mijn voordeur open laat staan, betekend dat ook niet dat je binnen mag komen.
Ik haat analogieen, maar vooruit: als ik mijn voordeur open laat staan, betekend dat ook niet dat je binnen mag komen.
Van jou misschien niet, maar volgende wet wel hoor.

Zodra jij je voordeur wijd openzet, is iemand die ongevraagd naar binnen wandelt niet strafbaar zolang jij hem niet expliciet de toegang ontzegt.

Of het fatsoenlijk is om dat zomaar te doen is inderdaad een ander verhaal.


@GoodspeeD

Voor je zomaar wat roept, zou jij mij even willen vertellen welke wet ik overtreed wanneer ik bij jou naar binnenwandel als jouw voordeur openstaat? Tip: kijk even wanneer er sprake is van inbraak of huisvredebreuk.
Dit is simpelweg niet waar. Zoals iemand anders al zegt hierboven: "Gelegenheid geeft geen toestemming tot gebruik." En dat is gewoon bij wet bepaald.
Is niet waar hé, er zijn geen mogelijkheden voor een gesloten systeem.

Als Dlink functioniliteit wil inbouwen in hun toestellen moeten zij deze ook zelf aanbieden, en niet anderen opzadelen met hun functionaliteiten!

DLink zal en moet betalen voor deze dienst of ze NIET aanbieden!
Precies, als er tientallen miljoenen routers zijn die controleren of ze verbonden zijn met Internet, door middel van een aantal packets elk uur naar _jouw_ ip adres te sturen, dan ga je ook niet klagen. Toch? :+
Nu ja, bullshit?

37 aanvragen per seconde, das 3.196.800 aanvragen per dag. En dat is dus zo'n 96 miljoen aanvragen per maand.

Zelf bij hele kleine pakketjes is dat toch al een behoorlijke traffic!

Bovendien gaat je vergelijking ook niet geheel op. Als je een FTP server open zet en je laat mensen maar begaan, dan kun je inderdaad verwachten dat particulieren er dingen op gaan doen, die jij niet wilde. Het is echter wat anders dan dat een bedrijf zoiets heeft van: Hé, das een leuke mirror om onze software op te zetten. We laten onze klanten daarvandaan de software downloaden. Als je gebruik maakt van een bepaalde dienst (gratis of niet / open of niet) dan verklaar je je in mijn ogen altijd accoord met de voorwaarden die eraan verbonden zijn. D-link schendt die voorwaarden klaarblijkelijk. Het is dus hun fout.
Het lijkt mij gewoon een publieke service die je beschikbaar stelt en anders moet hij maar een gesloten systeem gaan ontwikkelen.
Dat is toch grote onzin?
Ik vind het zelf niet kunnen...
Moet je toch wel lef voor hebben niet ?
<edit>
Is net hetzelfde als ik mijn tuinslang op de waterkraan aan de buitenmuur van de buurman aansluit.
</edit>
Dat is alleen vergelijkbaar wanneer je buurman tegen de andere buren gezegd heeft dat ze wel water uit zijn kraan mogen tappen en dat niet tegen jou gezegd heeft.
't Is zelfs nog veel erger: je sluit je tuinslang direct aan op een brandkraan! Die lijst met 50 stratum 1 servers had nooit in die D-Link (consumenten) apparatuur mogen zitten.

Twee simpele optie's voor D-Link waren/zijn:
1. geen tijdsynchronisatie (zoals hierboven ook al genoemd werd: wordt toch alleen maar gebruikt voor logjes die niemand ziet)
2. bij installatie vragen om een NTP server (bij de Advanced optie's dan ...)
en het adres van de server veranderen is geen optie in verband met de geschatte 2000 'legale' gebruikers.

Dat is wel een optie. Het alternatief is namelijk om die tijdserver op te heffen en dan zijn die 2000 net zo de dupe.

Beste wat ze kunnen doen is een nieuwe naam naar de huidge server laten wijzen en die 2000 gebruikers die nieuwe naam laten gebruiken.
Dan de oude naam naar een ander servertje bij een goedkope hoster laten wijzen en die server alleen maar zeeeer foute tijden terug laten geven.
Bij voorkeur zo fout dat die d-link'jes er op crashen (buffer overuns). Gaan al die klanten klagen bij d-link en ligt het probleem weer daar waar het hoort.
Als men dat voo alle stratum 1 servers moet gaan doen dan is heel het NTP principe voor dagen of weken ontregeld.
Bij voorkeur zo fout dat die d-link'jes er op crashen (buffer overuns). Gaan al die klanten klagen bij d-link en ligt het probleem weer daar waar het hoort.
Bij voorkeur de buffer zo laten overrunnen dat er echt code gestart wordt... en dan de router D-Link laten overbelasten. :-) Koekje van eigen deeg.
Doe er dan wel iets constructies mee: gewoon de nieuwe firmware laten downloaden bijvoorbeeld. Je moet klanten niet straffen voor de fouten die hun leverancier maakt, he!
Iets te kort door de bocht. Het is niet uitgesloten dat er een beveiliging is ingebouwd tegen het updaten vanaf het internet of dat na een reboot bepaalde instellingen verdwenen zijn!
Dan de oude naam naar een ander servertje bij een goedkope hoster laten wijzen en die server alleen maar zeeeer foute tijden terug laten geven.
Het NTP protocol zit zo in elkaar dat dit geen effect heeft als dit met een server gebeurt.

De client vraagt aan meerdere NTP servers om de tijd. Vervolgens wordt de resultaten met elkaar verlegen en foutieve resultaten er uit gegooid. Terwijl je wel met het verkeer blijft zitten.

Dit zou wel kunnen door gezamelijk een fout af te spreken en zo de client overtuigen dat de groep met de foute tijd de juiste geeft. Dan weten ze niet hoe gauw ze je er uit moeten gooien. Liever gisteren zeg maar.
tis alweer een tijdje geleden dat ik een ntp server heb geconfig'd maarreh, volgens mij kon je daarmee peer IP adressen configureren - waarom accepteert die gps.dix.dk niet enkel de Deense IP range? Lijkt me de meest eenvoudige oplossing...
En als de ntp software dit onverhoopt niet ondersteunt, dan is dit sowieso relatief eenvoudig te doen met een firewall.
Je kan wel besluiten om niks met de traffic te doen, maar die traffic blijft echter wel gewoon komen.
Omdat het de eigenaren er niet om draait dat ze kunnen puinruimen, maar dat ze willen dat D-link verantwoordlijkheid neemt om veroorzaakte overlast en schade te stoppen en vergoeden.
Deense bedrijven kunnen ook servers in het buitenland hebben staan die van deze ntp gebruik maken, die blokkeer je dan ook gelijk.
Je gaat er dan impliciet van uit dat de gebruikers / aanvallers het op zullen geven als ze nul op het rekest krijgen. Dat is hier niet het geval: de verzoeken zullen desondanks blijven komen.

Volgens het bron artikel is het daardoor ook niet nuttig om te implementeren; filteren kost meer resources dan 'gedachteloos' antwoorden.
xntpd, wat ik gebruik.
gebruik hiervoor het pool.ntp.org

4 entry's in de ntpd.conf
at.pool.ntp.org,be.pool.ntp.org,de.pool.ntp.org,nl.pool.ntp.org en de ntp source van m'n isp.

Heb mijn machines graag op tijd draaien (syslogging) en authentication services (radius en rsa).

een slimme client zal beginnen om elke 64 seconden contact te zoeken, en dat naderhand afbouwen (128 sec of 256 sec)

De doosjes van linksys reken ik even niet onder slimme clients!

per puls/client zal er al snel meer dan 100 bytes aan traffic zijn!

( http://www.pool.ntp.org/use.html ) handige info!

edit:
quote uit volgende document ( http://www.sun.com/blueprints/0701/NTP.pdf ) Unencrypted NTP ethernet packets are 90 bytes long.

Maar doe dat maal X hosts en het kan best veel traffic zijn!, Maar als ik de stats van deze server bekijk (pool network) http://ntp.raggedstaff.net/traffic.php ga ik me wel afvragen waar men zich zo druk over maakt! (als IX!)
Zie het als een DDoS, het gaat niet om de hoeveelheid bandbreedte, het gaat om de gigantische hoeveelheid verbindingen die er opgezet worden.

Ook al gebruikt elk pakketje maar 90 bytes, als je zo'n ~100 miljoen aanvragen per maand krijgt dan begint dat toch best wel veel te worden.
NTP werkt met UDP, dus het is allemaal redelijk connectieloos. Vandaar dat zijn probleem ook is dat 'ie het niet kan filteren, de 'server' welke de reacties aflevert voor die enkele packet per 'connectie' is een cisco router. Dat filteren op "deze mag wel, deze niet" is dus practisch onmogelijk.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013