NTP ຫຍໍ້​ມາ​ຈາກ​ຄຳ​ວ່າ Network Time Protocol ເປັນ​ Protocol ສຳລັບ​ການ​ທຽບ​ເວລາ​ມາດຕະຖານ​ ແລະ​ ຕັ້ງ​ຄ່າ​ເວລາ​ເທິງ​ເຄື່ອງ​ຄອມພິວເຕີ​ນັ້ນໆ ​ຜ່ານ​ລະບົບ​ເຄືອ​ຂ່າຍ ສ່ວນ​ໃຫຍ່​ຖືກ​ນຳ​ມາ​ໃຊ້​ໃນ​ອົງ​ກອນ​ເພື່ອ​ຊ່ວຍ​ເຮັດໃຫ້​ເວລາ​ໃນ​ເຄື່ອງ​ຄອມພິວເຕີ​ ຫຼື ​ເຄື່ອງ​ແມ່​ຂ່າຍ​ນັ້ນ​ມີ​ຄ່າ​ກົງ​ກັນ ໂດຍ​ຮູບ​ແບບ​ການເຮັດວຽກນັ້ນ​ແບ່ງ​ເປັນ 2 ສ່ວນ​ຫຼັກໆ​ຄື​: ອຸປະກອນ​ທີ່​ໃຫ້​ບໍລິການ​ທຽບ​ເວລາ (NTP Server) ກັບ​ເຄື່ອງ​ຄອມພິວເຕີ​ ຫຼື ​ອຸປະກອນ​ທີ່​ຕ້ອງ​ການ​ທຽບ​ເວລາ (NTP Client)  ໂດຍ​ Protocol NTP ນັ້ນ​ເຊື່ອມ​ຕໍ່​ຜ່ານ​ທາງ​ລະບົບ​ເຄືອ​ຂ່າຍ​ດ້ວຍ Protocol UDP ຜ່ານ​ພອດ 123 (Protocol UDP ມີ​ຄວາມ​ວ່ອງໄວ​ໃນ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ແຕ່​ກໍ​ມີ​ຂໍ້​ເສຍ​ໂດຍກົງ​ເພາະ​ Protocol UDP ບໍ່​ມີ​ການ​ກວດ​ສອບ​ຄວາມ​ຖືກ​ຕ້ອງ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ຮັບ​ສົ່ງ​ກັນ​ຢູ່​ຄືກັບ TCP Protocol)

2.  ປະຫວັດຄວາມເປັນມາຂອງ NTP

NTP ເປັນ​ Protocol ​ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ມາ​ຫຼາຍ​ຕັ້ງ​ແຕ່​ປີ 1985 ມີ​ການ​ພັດທະນາ​ໂດຍ​ທີມ NTP Project (R&D ຫຍໍ້​ມາ​ຈາກ​ຄຳ​ວ່າ Research & Development)   ສຳລັບ​ຊ໋ອບ​ແວທີ່​ເຮັດວຽກ​ເປັນ NTP Server ເທິງ​ລະບົບ​ປະຕິບັດການ Unix ປະຈຸບັນ​ໄດ້​ພັດທະນາ​ອອກ​ມາ​ເຖິງ​ເວີ​ຊັ່ນ 4.2.6 ແລະ​ ກຳລັງ​ຢູ່ໃນ​ລະຫວ່າງ​ການ​ທົດສອບ​ສຳລັບ​ເວີ​ຊັ່ນ 4.2.7 (ໃນ​ລະບົບ​ປະຕິບັດການ​ອື່ນໆ​ເຊັ່ນ: ວິນ​ໂດ ກໍ​ມີ​ຜູ້​ພັດທະນາ​ນຳ​ຊ໋ອດໂ​ຄດ​ທີ່​ຢູ່​ເທິງ​ເວບ NTP ໄປ​ພັດທະນາ​ຕໍ່ຍອດສຳລັບ​ໃຊ້​ງານ​ເປັນ NTP Server ເທິງ​ວິນ​ໂດ​ດ້ວຍ) ລວມ​ເຖິງ​ໃນ​ປະຈຸບັນ​ຍັງມີ​ອີກ​ຫຼາຍ​ບໍລິສັດ​ທີ່​ພັດທະນາ​ອຸປະກອນ​ປະ​ເພດ NTP appliance ມາ​ຈຳ​ໜ່ວຍ ຊຶ່ງ​ອຸປະກອນ​ດັ່ງ​ກ່າວ​ສາມາດ​ຮັບ​ສັນ​ຍານ​ຈາກ​ດາວ​ທຽມ GPS ໄດ້​ໂດຍ​ກົງ​ ດັ່ງຮູບທີ 1

ຮູບ​ທີ 1 ສະແດງ​ແຜນ​ຜັງ​ຮູບ​ພາບ​ການ​ເຊື່ອມ​ຕໍ່​ຂອງ​ Protocol NTP

ຈາກ​ຮູບ​ທີ 1 ພົບ​ວ່າ​ມີ​ການ​ແບ່ງ​ລະ​ດັບ​ຊັ້ນ​ຂອງ Stratum ອອກ​ເປັນ​ຫຼາຍ​ສ່ວນ ໂດຍ​ສາມາດ​ອະທິບາຍ​ຄວາມ​ແຕກ​ຕ່າງ​ຂອງ​ແຕ່​ລະ Stratum ດັ່ງ​ນີ້

Stratum 0 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ໃຊ້​ສັນ​ຍານ​ໂມງ​ເປັນ​ຕົວ​ອ້າງ​ອີງ ເຊັ່ນ:  GPS ເປັນ​ຕົ້ນ
Stratum 1 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 0 ມີ​ຄ່າ​ຄວາມ​ຄາດ​ເຄື່ອນ​ບໍ່​ເກີນ 1 ມິນ​ລິ​ວິ​ນາ​ທີ
Stratum 2 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 1 ມີ​ຄ່າ​ຄວາມ​ຄາດ​ເຄື່ອນ​ປະ​ມານ 10-100 ມິນ​ລິ​ວິ​ນາ​ທີ
Stratum 3 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 2
Stratum 4 ຄື​ອຸປະກອນ​ທຽບ​ເວລາ​ທີ່​ເຊື່ອມ​ຕໍ່​ກັບ NTP Server ທີ່​ເຮັດວຽກ​ໃນ Stratum 3

3. ຮູບ​ແບບ​ການ​ໂຈມ​ຕີ

ເຖິງແມ່ນ​ Protocol NTP ຈະ​ຖືກ​ຄິດ​ຄົ້ນ ​ແລະ ​ໃຊ້​ງານ​ມາ​ດົນ ແລະ​ ຖືກ​ນຳ​ມາ​ໃຊ້​ງານ​ຢ່າງ​ແພ່​ຫຼາຍ ແຕ່​ເມື່ອ​ທ້າຍເດືອນ​ ທັນວາ 2013 ທີ​ຜ່ານມາ​ນີ້ ບໍລິສັດ Symantec ໄດ້​ພົບ​ຂໍ້​ມູນ​ທີ​ໜ້າ​ສົນ​ໃຈ​ກ່ຽວກັບ​ປະລິມານ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ທີ​ເພີ່ມ​ຫຼາຍ​​ຂຶ້ນ​ຈົນ​ຜິດປົກກະຕິ​ຂອງ​ການ​ໃຊ້​ງານ​ Protocol NTP ຊຶ່ງ​ພົບ​ປະລິມານ​ການ​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ດ້ວຍ​ Protocol ນີ້​ມີ​ປະລິມານ​ເພີ່ມ​ສູງ​ຂຶ້ນ​ຢ່າງ​ຜິດ​ປົກກະຕິ ໂດຍ​ຄາດ​ການວ່າ​ການ​ພົບ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ໜ້າ​ຈະ​ເກີດ​ຈາກ​ການ​ກະທຳ​ການ​ບາງຢ່າງ​ ຫຼື​ ອາດ​ໝາຍ​ເຖິງ​ການ​ໂຈມ​ຕີ​ຮູບ​ແບບ​ໃໝ່​ກໍ​ເປັນ​ໄດ້ ໂດຍ​ Symantec ໄດ້​ເປີດ​ເຜີຍສະຖິ​ຕິ​ທີ​ບົ່ງ​ຊີ້​ວ່າ​ຊ່ວງ​ກາງ​ເດືອນ ​ທັນວາ 2013 ມີ​ການ​ໃຊ້ NTP Server ປະ​ມານ 15, 000 ເຄື່ອງ ຊຶ່ງ​ພົບ​ວ່າ​ມີ​ຄວາມ​ພະຍາຍາມ​ສົ່ງ​ຂໍ້​ມູນ​ມະຫາ​ສານ​ໄປ​ຍັງ​ລະບົບ​ຕ່າງໆ  ເມື່ອ​ມີການ​ວິ​ເຄາະ​ລົງ​​ເລິກ​ແລ້ວ ກໍ່ຢືນຢັນ​ໄດ້​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີແທ້​ ໂດຍ​ເທັກ​ນິກ​ການ​ໂຈມ​ຕີ​ໄດ້​ອາໄສ​ປະໂຫຍດ​ຈາກ NTP Server ທີ​ຕັ້ງ​ຄ່າ​ບໍ່​ເໝາະ​ສົມ​ ຫຼື ​ຕໍ່ໄປ​ຈະ​ເອີ້ນວ່າ NTP Server ທີ​ມີ​ຊ່ອງ​ໂຫວ່ ຊຶ່ງ​ຖືກ​ນຳ​ມາ​ໃຊ້​ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ການ​ໂຈມ​ຕີ​ໃນ​ລັກສະນະ DDoS ຫຼື Distribute Denial Of Service ໂດຍ​ມີ​ຈຸດປະສົງ​ຂອງ​ການ​ໂຈມ​ຕີ​ເພື່ອ​ທີ​ຕ້ອງ​ການ​ຍັບຢັ້ງ​ການ​ໃຫ້​ບໍລິການ​ຂອງ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ ເຮັດໃຫ້​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ ຫຼື​ ເຮັດວຽກ​ຕໍ່​ໄດ້ ໂດຍ​ສາມາດ​ອະທິບາຍ​ຕາມ​ຕົວ​ຢ່າງ​ດັ່ງ​ຮູບ​ທີ 2

ຮູບ​ທີ 3 ສະແດງ​ຮູບ​ແບບ​ການ​ໂຈມ​ຕີ​ລະບົບ ໂດຍ​ເທັກ​ນິກ Reflection DDoS Attack

ຈາກ​ຮູບ​ທີ 3 ສະແດງ​ໃຫ້​ເຫັນ​ວ່າ​ຜູ້​ບໍ່​ປະສົງ​ດີ​ສາມາດ​ໂຈມ​ຕີ​ເຄື່ອງ​ໃຫ້​ບໍລິການ​ເວບ​ໄຊ​ແຫ່ງ​ໜຶ່ງ​ ຫຼື ​ເອີ້ນວ່າ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໃນ​ລັກສະນະ DDoS ແລະ ​ເປັນ​ທີ່​ໜ້າ​ສັງເກດ​ຫຼາຍ​ຄື​ເທັກ​ນິກ​ດັ່ງ​ກ່າວ​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ແກ່​ເປົ້າ​ໝາຍ​ຢ່າງ​ຮຸນແຮງ ໂດຍ​ສາມາດ​ເຮັດ​ສິ່ງ​ທີ​ເອີ້ນວ່າ​ການ​ຂະຫຍາຍ​ປະລິມານ​ຂໍ້​ມູນ​ທີ່ໂຈມ​ຕີ (Amplification Attack) ໂດຍ​ການ​ສົ່ງ Packet ນ້ອຍ​ໆ (ປະລິມານ Packet ລະ 8 Bytes) ຈຳນວນ​ໜຶ່ງ​ໄປ​ຍັງ​ເຄື່ອງ NTP Server ຕ່າງໆ​ທີ​ມີ​ຊ່ອງ​ໂຫວ່ ຈາກ​ນັ້ນ​ເຄື່ອງ NTP Server ເຫລົ່າ​ນັ້ນ​ຈະ​ສົ່ງ​ຂໍ້​ມູນ​ກັບ​ໄປ​ຍັງ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໃນ​ປະລິມານ​ມະຫາ​ສານ ສົ່ງ​ຜົນ​ໃຫ້​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ທີ​ຖືກ​ໂຈມ​ຕີ​ຕ້ອງ​ຮັບ​ພາລະ​ໃນ​ການ​ປະ​ມວນ​ຜົນ​ຂໍ້​ມູນ​ມະຫາ​ສານ ຈົນ​ສຸດ​ທ້າຍ​ບໍ່​ສາມາດ​ໃຫ້​ບໍລິການ​ຕໍ່ໄປ​ໄດ້

ລວມ​ເຖິງ​ເມື່ອ​ວັນທີ 13 ມັງກອນ 2014 ໄດ້​ມີ​ການ​ເຜີຍແຜ່​ຂໍ້​ມູນ​ການ​ໂຈມ​ຕີ​ລະບົບ​​ເກມ​ອອນ​ໄລ​ຊື່​ດັ່ງ​ຫຼາຍ​ແຫ່ງ ເຊັ່ນ:  Battle.net, EA.com ຖືກ​ໂຈມ​ຕີ​ດ້ວຍ​ເທັກ​ນິກ Reflection DDoS Attack ແລະ​ ພົບ​ວ່າ​ປະລິມານ Bandwidth ສູງ​ສຸດ​ທີ​ໂຈມ​ຕີ​ໃນ​ເທື່ອ​ນີ້​ສູງ​ເຖິງ 100 Gbps ສ່ວນ Bandwidth ການ​ໂຈມ​ຕີສະເລ່ຍຢູ່​ທີ 7.3 Gbps ແລະ ​ລ່າ​ສຸດ​ ​ບໍລິສັດ Cloudfare ໄດ້ເປີດເຜີຍວ່າ (ບໍລິສັດ​ທີ​ເບິ່ງແຍງ​ເຄືອ​ຂ່າຍ​ໃຫຍ່​ທີສຸດ​ແຫ່ງ​ໜຶ່ງ​ຂອງ​ໂລກ) ຖືກ​ໂຈມ​ຕີ​ເຄືອ​ຂ່າຍ​ທີ​ມີ​ປະລິມານ​ການ​ໂຈມ​ຕີ​ສູງ​ສຸດ​ເຖິງ 400 Gbps ຊຶ່ງ​ນັບ​ວ່າ​ເປັນ​ການ​ໂຈມ​ຕີ​ທີ​ສູງ​ທີສຸດ​ເທື່ອ​ໜຶ່ງ​ຂອງ​ໂລກ ຫຼາຍກວ່າ​ເທື່ອ​ທີ່​ມີ​ການ​ໃຊ້​ເທັກ​ນິກ DNS Amplification Attack.

4. ຂໍ້ແນະນຳ

ພົບ​ວ່າ​ໃນ​ຊ໋ອບແວ NTP Server ເວີ​ຊັ່ນ 4.2.7 (ປະຈຸບັນ​ຍັງ​ຄົງ​ເປັນ​ເວີ​ຊັ່ນ​ທີ​ກຳ​ລັງ​ພັດທະນາ​ເປີດ​ໃຫ້​ດາວ​ໂຫລດ​ໃນ​ລັກສະນະ Beta) ໄດ້​ມີ​ການ​ຖອນ​ຟັງ​ຊັ່ນ​ການເຮັດວຽກຂອງ ‘monlist’ ເພື່ອ​ແກ້​ໄຂ​ບັນຫາ​ດັ່ງ​ກ່າວ​ດ້ວຍ ແຕ່​ຢ່າງໃດ​ກໍ່ຕາມ​ສຳລັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ທີ​ບໍ່​ສາມາດ​ອັບ​ເດດ​ຊ໋ອບແວ ​ໃນ​ເວີ​ຊັ່ນ​ດັ່ງ​ກ່າວ​ໄດ້ ແຕ່​ຍັງ​ສາມາດ​ໃຊ້​ວິທີ​ການຕັ້ງ​ຄ່າ​ຕາມ​ລາຍ​ລະອຽດ​ດ້ານ​ລຸມ​ເພື່ອ​ລຸດ​ຜົນ​ກະທົບ​ຈາກ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ໃນ​ໄຟລ​ການຕັ້ງ​ຄ່າ​ຂອງ NTP Server (ໄຟລ​ຊື່ ntp.conf) ໂດຍ​ສາມາດ​ເລືອກ​ເຮັດ​ຂໍ້​ໃດ​ຂໍ້​ໜຶ່ງ​ກໍ່ໄດ້​ຕາມ​ຂໍ້​ມູນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້

1. ຕັ້ງ​ຄ່າ​ເພື່ອ​ປິດ​ການເຮັດວຽກຂອງ​ຟັງຊັ່ນ monlist

#ເພີ່ມ

disable monitor

2. [ຕັ້ງ​ຄ່າ​ເພື່ອ​ປິດ​ການ​ເອີ້ນໃຊ້​ງານ​ຟັງ​ຊັ່ນ​ການ​ອ່ານ​ຄ່າ​ຕ່າງໆ​ຂອງ NTP Server]

#ເພີ່ມ

restrict -4 default nomodify nopeer noquery notrap

restrict -6 default nomodify nopeer noquery notrap

ຈາກ​ນັ້ນ​ໃຫ້​ Restart ບໍລິການ​ຂອງ NTP Server ເພື່ອ​ໃຫ້​ລະບົບ​ໃຊ້​ງານ​ການຕັ້ງ​ຄ່າ​ໃໝ່ ແລະ ​ທົດສອບ​ເອີ້ນໃຊ້​ງານ​ຟັງ​ຊັ່ນ monlist ເບິ່ງ​ອີກ​ເທື່ອ ຈະ​ພົບ​ວ່າ​ບໍ່​ສາມາດ​ເອີ້ນໃຊ້​ງານ​ໄດ້​ອີກ​ຕໍ່ໄປ

ເອກະສານອ້າງ​ອີງ 

1. http://www.ntp.org

1. http://thehackernews.com/2014/01/ddos-attack-NTP-server-reflection-protection.html
2. http://thehackernews.com/2014/02/NTP-Distributed-Denial-of-Service-DDoS-attack.html