6
Mithilfe gesucht: Hohes Volumen an HTTP-Anfragen gegen NTP-Server
Hallo,
ich suche ein wenig Mithilfe von Leuten, die ein aktives Netzwerkmonitoring betreiben und eine gute Anzahl verschiedener Android-Clients in ihrem Netzwerk haben.
Ich weiß, dass das eine ziemlich spezielle Anforderung ist, daher beschreibe ich kurz das Problem:
Es gibt mit dem NTP-Pool einen weltweiten Pool aus NTP-Servern, welche öffentlich und frei verfügbar akkurate Zeit per Netzwerk bereitstellen.
Ziel ist, dass die Server über das NTP-Protokoll angesprochen werden (Port 123/UDP). Allerdings wächst seit einigen Wochen die Zahl der HTTP-Anfragen gegen diese Server.
Gemäß der Best-Practice werden diese Anfragen auf "www.pool.ntp.org" weitergeleitet. Jedenfalls hat die Anzahl der HTTP-Anfragen gegen die Pool-Server massiv zugenommen.
Von vielleicht 100-200 Anfragen pro Tag im Dezember sind wir nun bei teilweise über 400 Anfragen pro Minute.
Da weit über 90% der Pool-Server "nebenbei", zudem in der Regel von Privatleuten betrieben werden, ist das natürlich etwas, was so nicht gewollt sein darf.
Es handelt sich dabei um HEAD-Anfragen an den Host "north-america.pool.ntp.org". Die Anfragen für Hosts in anderen Zonen ist aber ebenfalls, wenn auch nicht so massiv angestiegen.
Die Anfragen kommen aus den unterschiedlichsten Netzen und tragen als User-Agent die Signaturen von Android-Smartphones und Tablets diverser Hersteller und Version.
Darunter sind keine iOS- oder Windows-Clients - nur Android.
Die User-Agent-Header sehen nicht gefälscht aus und insgesamt sieht es nach "legitimen" resp. echten Anfragen aus.
Nachdem nur mit HEAD angefragt wird, liegt der Verdacht nahe dass es bei den Anfragen nur um den "Date:"-Header aus der HTTP-Antwort des Servers geht.
Sozusagen eine weniger akkurate Ermittlung der Uhrzeit oder des Datums.
Diese Anfragen sind weltweit verteilt und kommen auch aus deutschsprachigen Regionen.
Es ist zu vermuten, dass es sich um eine Android-App resp. ein Update handelt, welches irgendwann im Zeitraum von Ende Januar bis Anfang Februar verteilt wurde.
Nachdem von Seiten der NTP-Pool-Community bisher die Spurensuche wenig erfolgreich war, dachte ich, ich frage einmal hier um Mithilfe:
Da die Anfragen per unverschlüsseltem HTTP kommen und es ja nicht vollkommen unüblich ist, dass in Unternehmensnetzen das WLAN eventuell durch einen Zwangs-Proxy geht...
Glaubt ihr, ihr könnt nachsehen, ob ihr akut solchen Traffic bei euch sehen und möglicherweise einen Client identifizieren könnt?
Dann wäre es eventuell möglich anhand der installierten Apps herauszufinden, was diese Anfragen verursacht und den Hersteller öffentlich auf den Scheiterhaufen zu stellen.
Die Anfragen sehen aus wie diese hier:
Der Host kann variieren, endet in jedem Fall aber auf "pool.ntp.org".
Jeder einzelne Client sendet eher wenige Anfragen (wobei die Anzahl durchaus variiert). Das Problem ist halt die Masse der weltweit verteilten Clients
Danke!
ich suche ein wenig Mithilfe von Leuten, die ein aktives Netzwerkmonitoring betreiben und eine gute Anzahl verschiedener Android-Clients in ihrem Netzwerk haben.
Ich weiß, dass das eine ziemlich spezielle Anforderung ist, daher beschreibe ich kurz das Problem:
Es gibt mit dem NTP-Pool einen weltweiten Pool aus NTP-Servern, welche öffentlich und frei verfügbar akkurate Zeit per Netzwerk bereitstellen.
Ziel ist, dass die Server über das NTP-Protokoll angesprochen werden (Port 123/UDP). Allerdings wächst seit einigen Wochen die Zahl der HTTP-Anfragen gegen diese Server.
Gemäß der Best-Practice werden diese Anfragen auf "www.pool.ntp.org" weitergeleitet. Jedenfalls hat die Anzahl der HTTP-Anfragen gegen die Pool-Server massiv zugenommen.
Von vielleicht 100-200 Anfragen pro Tag im Dezember sind wir nun bei teilweise über 400 Anfragen pro Minute.
Da weit über 90% der Pool-Server "nebenbei", zudem in der Regel von Privatleuten betrieben werden, ist das natürlich etwas, was so nicht gewollt sein darf.
Es handelt sich dabei um HEAD-Anfragen an den Host "north-america.pool.ntp.org". Die Anfragen für Hosts in anderen Zonen ist aber ebenfalls, wenn auch nicht so massiv angestiegen.
Die Anfragen kommen aus den unterschiedlichsten Netzen und tragen als User-Agent die Signaturen von Android-Smartphones und Tablets diverser Hersteller und Version.
Darunter sind keine iOS- oder Windows-Clients - nur Android.
Die User-Agent-Header sehen nicht gefälscht aus und insgesamt sieht es nach "legitimen" resp. echten Anfragen aus.
Nachdem nur mit HEAD angefragt wird, liegt der Verdacht nahe dass es bei den Anfragen nur um den "Date:"-Header aus der HTTP-Antwort des Servers geht.
Sozusagen eine weniger akkurate Ermittlung der Uhrzeit oder des Datums.
Diese Anfragen sind weltweit verteilt und kommen auch aus deutschsprachigen Regionen.
Es ist zu vermuten, dass es sich um eine Android-App resp. ein Update handelt, welches irgendwann im Zeitraum von Ende Januar bis Anfang Februar verteilt wurde.
Nachdem von Seiten der NTP-Pool-Community bisher die Spurensuche wenig erfolgreich war, dachte ich, ich frage einmal hier um Mithilfe:
Da die Anfragen per unverschlüsseltem HTTP kommen und es ja nicht vollkommen unüblich ist, dass in Unternehmensnetzen das WLAN eventuell durch einen Zwangs-Proxy geht...
Glaubt ihr, ihr könnt nachsehen, ob ihr akut solchen Traffic bei euch sehen und möglicherweise einen Client identifizieren könnt?
Dann wäre es eventuell möglich anhand der installierten Apps herauszufinden, was diese Anfragen verursacht und den Hersteller öffentlich auf den Scheiterhaufen zu stellen.
Die Anfragen sehen aus wie diese hier:
HEAD / HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.4.2; GT-I9195 Build/KOT49H)
Host: north-america.pool.ntp.org
Connection: Keep-Alive
Accept-Encoding: gzipDer Host kann variieren, endet in jedem Fall aber auf "pool.ntp.org".
Jeder einzelne Client sendet eher wenige Anfragen (wobei die Anzahl durchaus variiert). Das Problem ist halt die Masse der weltweit verteilten Clients
Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 367705
Url: https://administrator.de/forum/mithilfe-gesucht-hohes-volumen-an-http-anfragen-gegen-ntp-server-367705.html
Ausgedruckt am: 19.04.2025 um 16:04 Uhr
6 Kommentare
Neuester Kommentar
Ich habe jetzt mal eben Wireshark mitlaufen lassen und mein altes Sony XA1 wieder eingeschaltet, welches zur Zeit komplett dumm ist. Noch nicht mal der Appstore ist aktiviert. Ich konnte hier auf die Schnelle nichts feststellen.
Am User-Agent sieht man ja, neben der Tatsache, dass es Android ist, auch, dass das Gerät von Samsung stammt. Bei mir sieht man dort G3121, also Sony Xperia XA1.
Kann man vielleicht erkennen, ob ein bestimmter Hersteller oder ein bestimmtes Gerät ist?
Am User-Agent sieht man ja, neben der Tatsache, dass es Android ist, auch, dass das Gerät von Samsung stammt. Bei mir sieht man dort G3121, also Sony Xperia XA1.
Kann man vielleicht erkennen, ob ein bestimmter Hersteller oder ein bestimmtes Gerät ist?
Leider nicht 
Im Prinzip sind alle Hersteller gemäß Marktanteil der jeweiligen Herkunftsländer der Anfragen vertreten (zumindest belegen Stichproben das).
Auch die Android-Versionen reichen von 4.2 bis 8.1.
Im Prinzip sind alle Hersteller gemäß Marktanteil der jeweiligen Herkunftsländer der Anfragen vertreten (zumindest belegen Stichproben das).
Auch die Android-Versionen reichen von 4.2 bis 8.1.
Hallo,
Unsere MotoG / Moto G4+ (aktuelles LineageOS 7.1.2) lassen nix dergleichen von sich. Allerdings haben die keinerlei Google-Dienste und andere sozialen Apps an Bord.
Lese gerade hier mit:
https://community.ntppool.org/t/growing-requests-to-http-north-america-p ...
Waere das nicht etwas, was an Google an sich weiter gereicht werden koennte?
BFF
Unsere MotoG / Moto G4+ (aktuelles LineageOS 7.1.2) lassen nix dergleichen von sich. Allerdings haben die keinerlei Google-Dienste und andere sozialen Apps an Bord.
Lese gerade hier mit:
https://community.ntppool.org/t/growing-requests-to-http-north-america-p ...
Waere das nicht etwas, was an Google an sich weiter gereicht werden koennte?
BFF
Naja... Google ist daran ja mit sehr hoher Wahrscheinlichkeit nicht Schuld.
Wären alle Telefone mit aktivierten Google-Diensten betroffen, wäre die Anzahl der Anfragen deutlich höher.
Die Ursache ist hier vielmehr eine App eines anderen Herstellers, der auf dieser kruden Art und Weise eine Zeit oder ein Datum holt.
Und für die Apps von anderen kann Google ja nichts
Wären alle Telefone mit aktivierten Google-Diensten betroffen, wäre die Anzahl der Anfragen deutlich höher.
Die Ursache ist hier vielmehr eine App eines anderen Herstellers, der auf dieser kruden Art und Weise eine Zeit oder ein Datum holt.
Und für die Apps von anderen kann Google ja nichts
Recht hast Du. 
Nur was ist, wenn eine reguläre Store-App dafür verantwortlich ist? Oder der default Android Browser gekapert von irgendwas?
OK, weit hergeholt aber dennoch möglich.
Was ich meine ist, daß Google mehr Potential hat etwas zu finden. Falls Google daran interessiert ist natürlich.
BFF
Nur was ist, wenn eine reguläre Store-App dafür verantwortlich ist? Oder der default Android Browser gekapert von irgendwas?
OK, weit hergeholt aber dennoch möglich.
Was ich meine ist, daß Google mehr Potential hat etwas zu finden. Falls Google daran interessiert ist natürlich.
BFF
Hallo,
bei der Suche bin ich hier mal auf das gestossen.
https://stackoverflow.com/questions/14381005/is-android-using-ntp-to-syn ...
Interessant ist auch das der Entwickler hier den ntp server aussuchen kann.
Frueher gab es tatsaechlich auch android.pool.ntp.org die gibt es aber nicht mehr.
Es gibt reichlich Clocksync apps wie das hier als Beispiel:
https://play.google.com/store/apps/details?id=ru.org.amip.ClockSync& ...
Die Systemzeit sollte per default vom Provider gezogen werden, so kann ich mir nur vorstellen das eine App schlecht programmiert wurde und
die default Zeit mit der ntp Zeit nicht uebereinstimmt und dadurch so hohe Anzahl an Anfragen entstehen.
Ich wuerde mal versuchen das Googleteam , vielleicht ueber die developer blogs, zu kontaktieren.
Gruss
bei der Suche bin ich hier mal auf das gestossen.
https://stackoverflow.com/questions/14381005/is-android-using-ntp-to-syn ...
Interessant ist auch das der Entwickler hier den ntp server aussuchen kann.
Frueher gab es tatsaechlich auch android.pool.ntp.org die gibt es aber nicht mehr.
Es gibt reichlich Clocksync apps wie das hier als Beispiel:
https://play.google.com/store/apps/details?id=ru.org.amip.ClockSync& ...
Die Systemzeit sollte per default vom Provider gezogen werden, so kann ich mir nur vorstellen das eine App schlecht programmiert wurde und
die default Zeit mit der ntp Zeit nicht uebereinstimmt und dadurch so hohe Anzahl an Anfragen entstehen.
Ich wuerde mal versuchen das Googleteam , vielleicht ueber die developer blogs, zu kontaktieren.
Gruss
