Mithilfe gesucht: Hohes Volumen an HTTP-Anfragen gegen NTP-Server

lordgurke
Goto Top
Hallo,

ich suche ein wenig Mithilfe von Leuten, die ein aktives Netzwerkmonitoring betreiben und eine gute Anzahl verschiedener Android-Clients in ihrem Netzwerk haben.
Ich weiß, dass das eine ziemlich spezielle Anforderung ist, daher beschreibe ich kurz das Problem:

Es gibt mit dem NTP-Pool einen weltweiten Pool aus NTP-Servern, welche öffentlich und frei verfügbar akkurate Zeit per Netzwerk bereitstellen.
Ziel ist, dass die Server über das NTP-Protokoll angesprochen werden (Port 123/UDP). Allerdings wächst seit einigen Wochen die Zahl der HTTP-Anfragen gegen diese Server.
Gemäß der Best-Practice werden diese Anfragen auf "www.pool.ntp.org" weitergeleitet. Jedenfalls hat die Anzahl der HTTP-Anfragen gegen die Pool-Server massiv zugenommen.
Von vielleicht 100-200 Anfragen pro Tag im Dezember sind wir nun bei teilweise über 400 Anfragen pro Minute.
Da weit über 90% der Pool-Server "nebenbei", zudem in der Regel von Privatleuten betrieben werden, ist das natürlich etwas, was so nicht gewollt sein darf.

Es handelt sich dabei um HEAD-Anfragen an den Host "north-america.pool.ntp.org". Die Anfragen für Hosts in anderen Zonen ist aber ebenfalls, wenn auch nicht so massiv angestiegen.
Die Anfragen kommen aus den unterschiedlichsten Netzen und tragen als User-Agent die Signaturen von Android-Smartphones und Tablets diverser Hersteller und Version.
Darunter sind keine iOS- oder Windows-Clients - nur Android.
Die User-Agent-Header sehen nicht gefälscht aus und insgesamt sieht es nach "legitimen" resp. echten Anfragen aus.

Nachdem nur mit HEAD angefragt wird, liegt der Verdacht nahe dass es bei den Anfragen nur um den "Date:"-Header aus der HTTP-Antwort des Servers geht.
Sozusagen eine weniger akkurate Ermittlung der Uhrzeit oder des Datums.

Diese Anfragen sind weltweit verteilt und kommen auch aus deutschsprachigen Regionen.
Es ist zu vermuten, dass es sich um eine Android-App resp. ein Update handelt, welches irgendwann im Zeitraum von Ende Januar bis Anfang Februar verteilt wurde.

Nachdem von Seiten der NTP-Pool-Community bisher die Spurensuche wenig erfolgreich war, dachte ich, ich frage einmal hier um Mithilfe:
Da die Anfragen per unverschlüsseltem HTTP kommen und es ja nicht vollkommen unüblich ist, dass in Unternehmensnetzen das WLAN eventuell durch einen Zwangs-Proxy geht...
Glaubt ihr, ihr könnt nachsehen, ob ihr akut solchen Traffic bei euch sehen und möglicherweise einen Client identifizieren könnt?
Dann wäre es eventuell möglich anhand der installierten Apps herauszufinden, was diese Anfragen verursacht und den Hersteller öffentlich auf den Scheiterhaufen zu stellen.


Die Anfragen sehen aus wie diese hier:

Der Host kann variieren, endet in jedem Fall aber auf "pool.ntp.org".
Jeder einzelne Client sendet eher wenige Anfragen (wobei die Anzahl durchaus variiert). Das Problem ist halt die Masse der weltweit verteilten Clients face-wink


Danke!

Content-Key: 367705

Url: https://administrator.de/contentid/367705

Ausgedruckt am: 18.08.2022 um 21:08 Uhr

Mitglied: tikayevent
tikayevent 11.03.2018 um 00:09:59 Uhr
Goto Top
Ich habe jetzt mal eben Wireshark mitlaufen lassen und mein altes Sony XA1 wieder eingeschaltet, welches zur Zeit komplett dumm ist. Noch nicht mal der Appstore ist aktiviert. Ich konnte hier auf die Schnelle nichts feststellen.

Am User-Agent sieht man ja, neben der Tatsache, dass es Android ist, auch, dass das Gerät von Samsung stammt. Bei mir sieht man dort G3121, also Sony Xperia XA1.

Kann man vielleicht erkennen, ob ein bestimmter Hersteller oder ein bestimmtes Gerät ist?
Mitglied: LordGurke
LordGurke 11.03.2018 um 00:55:55 Uhr
Goto Top
Leider nicht face-sad
Im Prinzip sind alle Hersteller gemäß Marktanteil der jeweiligen Herkunftsländer der Anfragen vertreten (zumindest belegen Stichproben das).
Auch die Android-Versionen reichen von 4.2 bis 8.1.
Mitglied: BassFishFox
BassFishFox 11.03.2018 um 02:08:10 Uhr
Goto Top
Hallo,

Unsere MotoG / Moto G4+ (aktuelles LineageOS 7.1.2) lassen nix dergleichen von sich. Allerdings haben die keinerlei Google-Dienste und andere sozialen Apps an Bord.

Lese gerade hier mit:
https://community.ntppool.org/t/growing-requests-to-http-north-america-p ...

Waere das nicht etwas, was an Google an sich weiter gereicht werden koennte?

BFF
Mitglied: LordGurke
LordGurke 11.03.2018 aktualisiert um 13:59:14 Uhr
Goto Top
Naja... Google ist daran ja mit sehr hoher Wahrscheinlichkeit nicht Schuld.
Wären alle Telefone mit aktivierten Google-Diensten betroffen, wäre die Anzahl der Anfragen deutlich höher.
Die Ursache ist hier vielmehr eine App eines anderen Herstellers, der auf dieser kruden Art und Weise eine Zeit oder ein Datum holt.
Und für die Apps von anderen kann Google ja nichts face-wink
Mitglied: BassFishFox
BassFishFox 11.03.2018 aktualisiert um 14:58:00 Uhr
Goto Top
Recht hast Du. face-smile
Nur was ist, wenn eine reguläre Store-App dafür verantwortlich ist? Oder der default Android Browser gekapert von irgendwas?
OK, weit hergeholt aber dennoch möglich. face-smile

Was ich meine ist, daß Google mehr Potential hat etwas zu finden. Falls Google daran interessiert ist natürlich.

BFF
Mitglied: Alchimedes
Alchimedes 11.03.2018 um 15:55:04 Uhr
Goto Top
Hallo,

bei der Suche bin ich hier mal auf das gestossen.
https://stackoverflow.com/questions/14381005/is-android-using-ntp-to-syn ...

Interessant ist auch das der Entwickler hier den ntp server aussuchen kann.
Frueher gab es tatsaechlich auch android.pool.ntp.org die gibt es aber nicht mehr.

Es gibt reichlich Clocksync apps wie das hier als Beispiel:
https://play.google.com/store/apps/details?id=ru.org.amip.ClockSync& ...

Die Systemzeit sollte per default vom Provider gezogen werden, so kann ich mir nur vorstellen das eine App schlecht programmiert wurde und
die default Zeit mit der ntp Zeit nicht uebereinstimmt und dadurch so hohe Anzahl an Anfragen entstehen.

Ich wuerde mal versuchen das Googleteam , vielleicht ueber die developer blogs, zu kontaktieren.

Gruss