D-Link beschuldigd van misbruik NTP-servers

Poul-Henning Kamp, FreeBSD-ontwikkelaar en tevens beheerder van een Deense NTP-server is behoorlijk kwaad op D-Link, omdat dit bedrijf ongevraagd gebruikmaakt van zijn diensten. In de firmware van zijn routers verwijst D-Link naar de bewuste server (gps.dix.dk) om hun interne klok mee te synchroniseren. Gevolg: 75 tot 90% van het verkeer op die server (maar liefst 37 aanvragen per seconde) is afkomstig van wereldwijd verspreide D-Link routers, terwijl de eigenaar in zijn voorwaarden duidelijk stelt dat zijn server alleen door Denen gebruikt mag worden, en ook dat deze niet voor consumenten is bedoeld. Alleen met die restricties mocht hij de machine gratis neerzetten bij de Deense Internet Exchange (DIX).

De DIX is niet blij met het extra internationale verkeer en dreigt de stekker eruit te trekken als het aantal aanvragen zo hoog blijft. Het alternatief voor de eigenaar is om bijna 8000 euro per jaar te gaan betalen voor de hosting. Dat zijn echter niet de enige kosten waar Kamp mee zit: hij heeft al 5000 dollar betaald aan een expert om achter de verklaring voor het probleem te komen. Zelf bleek hij er weinig aan te kunnen doen: filteren van het verkeer was te moeilijk en het adres van de server veranderen is geen optie in verband met de geschatte 2000 'legale' gebruikers.

Kamp nam een advocaat in de arm en vroeg D-Link om een nieuwe firmware uit te brengen waarin zijn NTP-server niet meer opgenomen was. Ook eiste hij een schadevergoeding van ongeveer 32.000 euro om de gemaakte kosten te dekken. Dit alles speelde zich overigens af in november. D-Link heeft ondertussen wel stappen ondernomen om het probleem iets minder erg te maken: voor een aantal producten is een nieuwe firmware uitgebracht waarin de Deense server niet meer gebruikt wordt. Er waren halverwege maart echter nog minstens 25 producten die wél naar gps.dix.dk verwezen, plus de vele duizenden routers die al bij consumenten thuis staan, mensen die voor het grootste deel waarschijnlijk niet eens weten wat firmware is.

De juridische strijd en alle kosten die daarbij komen kijken is dan ook nog niet voorbij. D-Link weigert zijn excuses aan te bieden, maar heeft volgens Kamp wel voorgesteld om zwijggeld te betalen, en zou hem op een ander moment zelfs een afperser hebben genoemd. Met zijn open brief wil Kamp de aandacht trekken van de media en eindverantwoordelijken bij D-Link om extra schot in de zaak te brengen. Uit zijn logs maakt Kamp op dat minstens vijftig mensen van het bedrijf het verhaal al hebben gelezen, maar er is nog geen reactie gekomen.

Het lijkt er overigens op dat de Deense server niet de enige is die op deze manier misbruikt wordt: in de firmware van de routers zijn adressen van maar liefst vijftig 'stratum 1'-servers opgenomen. Het wereldwijde NTP-netwerk is opgedeeld in verschillende niveaus, waarvan stratum 1 de hoogste is, stratum 2 bedoeld voor providers, en consumenten alleen met stratum 3 of hoger te maken moeten hebben, hoewel in het publiek te gebruiken pool.ntp.org ook een aantal stratum 2-servers te vinden zijn. Het lijkt er echter op dat D-Link zijn routers zonder toestemming losgelaten heeft op alle bekende stratum 1-servers, wat in ieder geval een schending is van fatsoen en de gebruiksvoorwaarden van deze diensten. Of het ook daadwerkelijk illegaal is kan alleen een rechter besluiten, maar gezamenlijk staan de beheerders in ieder geval sterker.

Lees meer

IT-banen

Reacties (101)

AtleX 9 april 2006 15:37

Waarom zet D-Link dan niet zelf één of meerdere NTP-servers op? dan zijn ze van heel het probleem af. Of doe net als Thompson/Alcatel, gebruikers moeten zelf een NTP-server opgeven. Als een klant niet weet wat dat is laat hij het leeg en werkt de router nog wel zonder problemen.

kodak

Bedrijfsnieuws

@AtleX • 9 april 2006 15:46

Waarschijnlijk omdat D-link liever geld uitspaard en zo min mogelijk moeite wil doen om geld te verdienen. Als ze wat moeite hadden gedaan hadden ze op zn minst onderzoek gedaan naar wat wel openbare ntp servers zijn en aan de eiganaren bekend gemaakt dat ze een paar miljoen klanten er gebruik van willen laten maken.

Anoniem: 156761 @AtleX • 9 april 2006 19:14

Tja, ik denk dat alle fabrikanten die zich er eventjes in verdiepen gewoon pool.ntp.org ofzo gebruiken, dat zijn allemaal servers die je als consument gewoon kan gebruiken, en als de load te hoog wordt voegen ze gewoon een aantal servers extra toe.

Anoniem: 129948 @AtleX • 10 april 2006 09:35

Dit is eigenlijk nonsense. Als je je server niet publiek wil hebben dan moet ie niet op het net. Jammer Poul, maar information wants to be free. Hij noemt het vandalisme maar dat is het niet.

Anoniem: 166790 @Anoniem: 129948 • 10 april 2006 10:27

beetje kort door de bocht he? hiervoor zijn, zoals je onderaan het artikel ziet, structuren en voorwaarden voor, om het zo georganiseerd mogelijk te houden. dit is altijd binnen goed fatsoen gegaan. ik ga toch ook niet als ik bij dell een computer wil bestellen naar de CEO van Dell Nederland vragen? dit soort structuren zijn er om de hoeveelheid werk en serverload goed te verdelen en georganiseerd te houden, als een bedrijf als D-Link op vrij onbeschofte wijze misbruik van het feit dat dit altijd binnen de normen van goed fatsoen geregeld heeft kunnen worden, vind ik dat net zo kinderachtig als jouw statement.

held dat je er bent.

Anoniem: 87832 @Anoniem: 129948 • 10 april 2006 11:27

Woohoo... iedereen snel JamesWest's computer DDOS'en; het mag van hem!

locke960 9 april 2006 16:06

en het adres van de server veranderen is geen optie in verband met de geschatte 2000 'legale' gebruikers.

Dat is wel een optie. Het alternatief is namelijk om die tijdserver op te heffen en dan zijn die 2000 net zo de dupe.

Beste wat ze kunnen doen is een nieuwe naam naar de huidge server laten wijzen en die 2000 gebruikers die nieuwe naam laten gebruiken.
Dan de oude naam naar een ander servertje bij een goedkope hoster laten wijzen en die server alleen maar zeeeer foute tijden terug laten geven.
Bij voorkeur zo fout dat die d-link'jes er op crashen (buffer overuns). Gaan al die klanten klagen bij d-link en ligt het probleem weer daar waar het hoort.

Blokker_1999

Bedrijfsnieuws

@locke960 • 9 april 2006 16:24

Als men dat voo alle stratum 1 servers moet gaan doen dan is heel het NTP principe voor dagen of weken ontregeld.

Anoniem: 146814 @locke960 • 9 april 2006 17:56

Bij voorkeur zo fout dat die d-link'jes er op crashen (buffer overuns). Gaan al die klanten klagen bij d-link en ligt het probleem weer daar waar het hoort.

Bij voorkeur de buffer zo laten overrunnen dat er echt code gestart wordt... en dan de router D-Link laten overbelasten. :-) Koekje van eigen deeg.

ILUsion @Anoniem: 146814 • 9 april 2006 18:45

Doe er dan wel iets constructies mee: gewoon de nieuwe firmware laten downloaden bijvoorbeeld. Je moet klanten niet straffen voor de fouten die hun leverancier maakt, he!

Anoniem: 57363 @ILUsion • 9 april 2006 19:28

Iets te kort door de bocht. Het is niet uitgesloten dat er een beveiliging is ingebouwd tegen het updaten vanaf het internet of dat na een reboot bepaalde instellingen verdwenen zijn!

alfatrion @locke960 • 9 april 2006 18:04

Dan de oude naam naar een ander servertje bij een goedkope hoster laten wijzen en die server alleen maar zeeeer foute tijden terug laten geven.

Het NTP protocol zit zo in elkaar dat dit geen effect heeft als dit met een server gebeurt.

De client vraagt aan meerdere NTP servers om de tijd. Vervolgens wordt de resultaten met elkaar verlegen en foutieve resultaten er uit gegooid. Terwijl je wel met het verkeer blijft zitten.

Dit zou wel kunnen door gezamelijk een fout af te spreken en zo de client overtuigen dat de groep met de foute tijd de juiste geeft. Dan weten ze niet hoe gauw ze je er uit moeten gooien. Liever gisteren zeg maar.

Olaf van der Spek 9 april 2006 15:41

Op http://www.cs.wisc.edu/%7Eplonka/netgear-sntp/ staat trouwens een interessant verhaal over een vergelijkbare situatie waarin Netgear betrokken was.

naftebakje 9 april 2006 16:45

Kunnen ze al dat verkeer niet doorlussen naar de site van D-link, of voor elke aanvraag een mailtje zenden naar abuse@d-link.com om te melden dat je 1€ extra schadevergoeding wil?
Dit is echt super onbeschoft, als ik mijn venster open zet om frisse lucht binnen te laten weet ik dat er wat stof en vuiligheid binnenkomt, maar als een discotheek vlakbij iedereen naar mijn openstaande venster verwijst om in te kotsen, dan aanvaard ik dat niet.

Hopelijk komt de rechter met een dwangsom per aanvraag, dat zal andere bedrijven wel afschrikken om misbruik te maken van zeer goedbedoelde ideeën.

TheWickedD @naftebakje • 9 april 2006 17:44

heerlijke vergelijking naftebakje, hulde!

NoReason 9 april 2006 17:00

kunnen ze niet time.windows.com gebruiken

Roelant @NoReason • 9 april 2006 18:02

Ach, je kan zeggen wat je wil, maar time.windows.com bestaat omdat Microsoft wél het fatsoen heeft om Windows niet standaard naar de server van een ander te laten wijzen, die bovendien niet voor individuele clients is bedoeld, maar gewoon zélf een server te verzorgen.

Vervolgens voldoet time.windows.com weer aan alle voorwaarden van een stratum-2 server, waardoor het legitiem is om de server zelf wél met een stratum-1 server te laten syncen. Mooi gevolg: als je met time.windows.com synct ben je zelf stratum-3 en is de offset als gevolg van de afstand daadwerkelijk te verwaarlozen. En een kleine check wijst uit dat dat klopt:

barbegazi:~ roelant$ ntptrace time.windows.com
time.windows.com: stratum 2, offset 0.048518, synch distance 0.06256
time.nist.gov: stratum 1, offset 0.050801, synch distance 0.00000, refid 'ACTS'

Zo is het systeem bedoeld: een zo klein mogelijke afstand voor iedereen, maar wel via een dusdanige vertakking dat het voor de stratum-1 servers te behappen blijft.

Nog netter is overigens zoals Apple het verzorgt heeft: gewoon zelf je stratum-1 server verzorgen en een netwerk voor je eindgebruikers verzorgen:

barbegazi:~ roelant$ ntptrace time.euro.apple.com
interweb.euro.apple.com: stratum 2, offset 0.052530, synch distance 0.13905
time2.euro.apple.com: stratum 1, offset 0.052357, synch distance 0.00552, refid 'GPS'

Meest bekende Nederlandse server is ntp.xs4all.nl, die weer synct met de stratum-1 server van uunet.

Daenney @NoReason • 9 april 2006 17:20

ik wou net zeggen

Alsnog redelijk schandalig dat als er duidelijk vermeld is dat het alleen voor Deens prive gebruikl is D-Link de boel ff aan zn laars lapt en het in zijn routertjes gooit... Dat kun je niet maken, wie is hier de afzetter, D-Link met hun zwijggeld...

]Byte[ 9 april 2006 16:59

Ik begrijp dat ze hun klanten graag willen helpen, maar netjes is het allerminst van D-Link!
Er staat in het overzicht bij ntp.isc.org duidelijk dat het een Restricted server is.
DK gps.dix.dk RestrictedAccess

Anoniem: 38469 @]Byte[ • 9 april 2006 19:41

Ja, bovendien staat erbij dat gps.dix.dk vereist dat er melding wordt gemaakt van de intentie om hun dienst te gaan gebruiken alvorens dit gebeurt. Uit het bovenstaande artikel valt af te leiden dat D-Link dit waarschijnlijk niet heeft gedaan, vanwaar anders die kosten á €5000,- voor een expert?

In de "Rules of engagement" staat dat stratum 2 servers pas mogen worden gebruikt als deze synchronisatie wordt gebruikt om 100 clients of meer mee te bedienen. Zoveel clients hangen er meestal niet achter je D-Link lijkt me...

Anoniem: 62643 @Anoniem: 38469 • 10 april 2006 00:51

Weet jij wel hoeveel mensen een D-link router hebben ?
En dat dan over de hele wereld rekenen.
Ja, heeeeeel veel
Daarnaast, stratum 2 servers is niet 100 clients of meer, stratum 3 servers zijn meestal gemaakt om de klappen op te vangen, stratum 2 servers worden door deze dan benaderd en stratum 1 servers zijn meestal de main servers. Deze worden dus benadeeld.

Jammer dat die gast in Denen zit, word inderdaad lastig een rechtszaak te houden

MadEgg @Anoniem: 62643 • 10 april 2006 12:44

Ja, maar het gaat per router. Je mag een machine met een stratum 2 server syncen als je dat doet om te zorgen dat er daarna 100 andere machines met jouw pas gesynchroniseerde machine syncen.

Dus iedere D-Link router die synced met een stratum 2(terwijl dit 1 is dus

) zouden dan op een lokaal netwerk met minimaal 100 clients moeten zijn aangeslotend die dan nog allemaal met de router syncen ook. Aangezien het goedkope rotdingen zijn acht ik de kans dat dat voorkomt zeer klein.

Rembert 9 april 2006 16:09

tis alweer een tijdje geleden dat ik een ntp server heb geconfig'd maarreh, volgens mij kon je daarmee peer IP adressen configureren - waarom accepteert die gps.dix.dk niet enkel de Deense IP range? Lijkt me de meest eenvoudige oplossing...
En als de ntp software dit onverhoopt niet ondersteunt, dan is dit sowieso relatief eenvoudig te doen met een firewall.

Michael @Rembert • 9 april 2006 16:31

Je kan wel besluiten om niks met de traffic te doen, maar die traffic blijft echter wel gewoon komen.

kodak

Bedrijfsnieuws

@Rembert • 9 april 2006 17:35

Omdat het de eigenaren er niet om draait dat ze kunnen puinruimen, maar dat ze willen dat D-link verantwoordlijkheid neemt om veroorzaakte overlast en schade te stoppen en vergoeden.

siknu @Rembert • 9 april 2006 17:50

Deense bedrijven kunnen ook servers in het buitenland hebben staan die van deze ntp gebruik maken, die blokkeer je dan ook gelijk.

Gwaihir @Rembert • 10 april 2006 00:06

Je gaat er dan impliciet van uit dat de gebruikers / aanvallers het op zullen geven als ze nul op het rekest krijgen. Dat is hier niet het geval: de verzoeken zullen desondanks blijven komen.

Volgens het bron artikel is het daardoor ook niet nuttig om te implementeren; filteren kost meer resources dan 'gedachteloos' antwoorden.

Anoniem: 54820 9 april 2006 16:13

xntpd, wat ik gebruik.
gebruik hiervoor het pool.ntp.org

4 entry's in de ntpd.conf
at.pool.ntp.org,be.pool.ntp.org,de.pool.ntp.org,nl.pool.ntp.org en de ntp source van m'n isp.

Heb mijn machines graag op tijd draaien (syslogging) en authentication services (radius en rsa).

een slimme client zal beginnen om elke 64 seconden contact te zoeken, en dat naderhand afbouwen (128 sec of 256 sec)

De doosjes van linksys reken ik even niet onder slimme clients!

per puls/client zal er al snel meer dan 100 bytes aan traffic zijn!

( http://www.pool.ntp.org/use.html ) handige info!

edit:
quote uit volgende document ( http://www.sun.com/blueprints/0701/NTP.pdf ) Unencrypted NTP ethernet packets are 90 bytes long.

Maar doe dat maal X hosts en het kan best veel traffic zijn!, Maar als ik de stats van deze server bekijk (pool network) http://ntp.raggedstaff.net/traffic.php ga ik me wel afvragen waar men zich zo druk over maakt! (als IX!)

Wolfboy @Anoniem: 54820 • 9 april 2006 16:47

Zie het als een DDoS, het gaat niet om de hoeveelheid bandbreedte, het gaat om de gigantische hoeveelheid verbindingen die er opgezet worden.

Ook al gebruikt elk pakketje maar 90 bytes, als je zo'n ~100 miljoen aanvragen per maand krijgt dan begint dat toch best wel veel te worden.

wacco @Wolfboy • 9 april 2006 20:04

NTP werkt met UDP, dus het is allemaal redelijk connectieloos. Vandaar dat zijn probleem ook is dat 'ie het niet kan filteren, de 'server' welke de reacties aflevert voor die enkele packet per 'connectie' is een cisco router. Dat filteren op "deze mag wel, deze niet" is dus practisch onmogelijk.

Anoniem: 153871 9 april 2006 18:07

Dat iemand een 'publiek' restaurant opent betekent toch ook niet dat je zomaar je eigen drank mag tappen en niet hoeft te betalen?
Waarom zou op internet ineens alles mogen?

Als jij een website opent...
vind je het dan vreemd dat er mensen gaan kijken?
Als jij een klok buiten hangt..
vind jij het dan vreemd dat er mensen naar je klokje kijken om te zien hoelaat het is?

Je moet even goed nadenken wat de essentie is van dit verhaal.

Ik vind het overigens niet echt vriendelijk van d-link, de best oplossing is inderdaad een eigen server opzetten.

Roelant @Anoniem: 153871 • 9 april 2006 18:13

Als jij een klok buiten hangt..
vind jij het dan vreemd dat er mensen naar je klokje kijken om te zien hoelaat het is?

Dat is inderdaad wel een mooie vergelijking, maar dan moet je 'm wel afmaken:

In heel de wereld zijn maar een paar klokken die precies op tijd lopen: stratum-1. Daar willen duizenden mensen het liefst op "kijken"... maar omdat dat natuurlijk niet gaat, zijn er per stratum-1 klok vele stratum-2 klokken. Beheerders van die klokken zetten hun klok gelijk met een stratum-1 klok, en laten mensen vervolgens op hun klok kijken, met als doel om de stratum-1 klokken te ontzien.

En omdat mensen nu eenmaal toch liever naar de stratum-1 klokken gaan, is er afgesproken dat alléén mensen die een heleboel mensen op hun klok laten kijken - stratum-2 klokkenhouders dus - op de stratum-1 klok mogen komen kijken om die gelijk te zetten: de Rules of Engagement.

En D-link heeft daar nu doodleuk schijt aan en stuurt iedereen naar zo'n stratum-1 klok. En da's dus niet echt tof.

Anoniem: 97559 @Anoniem: 153871 • 9 april 2006 20:09

Als jij een klok buiten hangt..
vind jij het dan vreemd dat er mensen naar je klokje kijken om te zien hoelaat het is?

DIX hangt hun klok niet buiten.

Hun klok hangt binnen en wanneer iemand hen opbelt kijken zij op de klok en geven zij de tijd door.

Hoe zou jij het vinden als je de hele dag gebeld wordt met de vraag hoe laat het is?

Olaf van der Spek @Anoniem: 153871 • 9 april 2006 18:10

Als jij een website opent...
vind je het dan vreemd dat er mensen gaan kijken?

Nee, maar wel dat mensen een DDoS aanval uitvoeren.
Of dat andere websites gewoon mijn images of hun pagina's zetten.
Of dat iemand producten verkoopt/verspreidt die gekoppeld zijn aan mijn website.

blouweKip @Anoniem: 153871 • 10 april 2006 04:26

je kunt ook ddossen, maar dat wil niet zeggen dat het zomaar mag

wat dlink hier doet is gewoon indentiek aan een ddos en als zodanig dus ook te vervolgen lijkt me

Anoniem: 98889 9 april 2006 16:17

Ik keur absoluut niet goed wat DLink doet, maar verder rammelt er het een en ander aan dit verhaal IMHO.

Als ik de tekst goed lees dan wekken ze de indruk dat het gaat over een prive servertje van iemand, welke gelinkt is aan een subdomain (gps) van een provider (dix.dk), waardoor je dat als een onderdeel van die provider kan beschouwen maar men laat doorschijnen dat al die extra kosten naar die prive persoon zouden doorgeschoven worden alhoewel ze anderzijds weer zeggen dat die subdomain gewoon droppen geen optie is omdat er dan plots sprake is over 2000 legale gebruikers ?

Gaat het nu over een prive servertje van iemand of gaat het over een groter geheel waar DLink dan ook nog eens misbruik van maakt ?

alt-92 @Anoniem: 98889 • 9 april 2006 16:50

Gaat het nu over een prive servertje van iemand of gaat het over een groter geheel waar DLink dan ook nog eens misbruik van maakt ?

Het gaat om het grotere geheel.
D-Link heeft 'omdat het wel makkelijk was' gewoon stratum-1 servers in een lijstje gestopt met als default gps.dix.dk.
Daar zijn stratum-1 (en -2) servers niet voor bedoeld.
Dat deze server nou net van deze persoon is maakt in dit verhaal in zoverre uit dat hij als privé persoon geconfronteerd wordt met de financiële gevolgen van het oneigenlijk gebruik van het NTP systeem door D-Link.
De server staat bij DIX, hence gps.dix.dk.

Anoniem: 98889 @alt-92 • 9 april 2006 17:31

Ah OK... die server is zo een stratum-1 server.

Dat wist ik niet.

Waar kan je daar een overzicht van krijgen ?

scsirob @Anoniem: 98889 • 9 april 2006 20:57

Ehhh. In de DLink firmware

Roelant @Anoniem: 98889 • 9 april 2006 21:06

http://ntp.isc.org/bin/view/Servers/StratumOneTimeServers

Blokker_1999

Bedrijfsnieuws

@Anoniem: 98889 • 9 april 2006 16:27

Het is 1 van de stratum 1 servers. Aangezien de ISP en zijn klanten ook gebruik maken van deze server heeft deze bepaald dat deze gratis geplaatst mag worden bij hun. Dit was evenwel voor een beperkd gebruik.

Nu door D-link is de traffiek enorm toegenomen en stijgen de kosten van de traffiek. Ofwel komt er een oplossing waarbij de D-link routers stoppen met aanvragen ofwel moet iemand voor de kosten gaan beginnen opdraaien.

Op dit item kan niet meer gereageerd worden.

D-Link beschuldigd van misbruik NTP-servers

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: