NICTの公開NTPサービス、ほぼ連日障害発生 51
ストーリー by headless
何時 部門より
何時 部門より
あるAnonymous Coward 曰く、
NICTが公開しているNTPサービスで、12月に入ってから連日のようにネットワーク障害が発生しているようだ(NICT公開NTP: 過去の運用情報)
NICTは公開NTPサービスをネットワーク系統の異なる2系統(A系、B系)に分けて運用しており、主にB系でネットワーク障害が発生している。A系でのネットワーク障害も数回発生しているが、両系統が同時にダウンした時間帯はない模様。現在のところ、障害に関する詳細情報は発表されていない。
DoS攻撃? (スコア:5, 興味深い)
私は自宅サーバをNTP Pool Project [srad.jp]に登録しNTPサーバを公開しているのですが、12月に入った頃からNTPに対するDoSっぽいトラフィックが見られています。
韓国っぽいIPアドレスからのntpパケットで、リクエストが100kbpsぐらいに対し応答が10Mbpsぐらいになるというのが1日のうち数時間ぐらい連続しているという
一昨日、一日あたりの上り転送量が30GBを超えているとプロバイダから警告を受け、調べてみて発覚。
とりあえずそれっぽいIPアドレスからのアクセスは遮断するように設定したので、上りトラフィック負荷は解消されたのですが、それでも下りのリクエストパケットは届いていてどうしようもないって感じです…
ググってみた (スコア:1)
日本標準時(JST)プロジェクト [nict.go.jp]
もしかしたらこんな理由だったりして。
それにしても日本標準時プロジェクト 公開NTPのお知らせ [nict.go.jp]にも詳細は出てないな。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
それって情報セキュリティ3要素のうちの機密性を強化したら、
同じく3要素のうちの可用性落ちましたみたいな笑い話になりそうな。
いっそのことローカルなタイムサーバーを (スコア:1)
USBとかでPCと繋いで、PCの時刻補正ができるやつとかでもいいかな。
Re:いっそのことローカルなタイムサーバーを (スコア:2)
Re:いっそのことローカルなタイムサーバーを (スコア:2)
GPSレシーバでやってみたことがあるけど、折角上り下りの遅延がほぼ解消されるのに、
ドリフト量がわかんないんだよね…
電波時計も同じで、それなりに正確な "間隔" を刻んでくれるけど、
電波時計を並べて見ていると明らかにズレてたりするんだよね。
どうにかならないのかなぁ。
Re: (スコア:0)
標準電波ってのは
http://jjy.nict.go.jp/jjy/trans/timecode1.html [nict.go.jp]
こういう具合に絶対時間をはき出すプロトコルなので、ずれてるのは単にそれぞれの電波時計の実装の問題です。
GPSも同じ。
自分でどうにかしたやつを作ればいいと思いますよ。
Re:いっそのことローカルなタイムサーバーを (スコア:1)
実装の問題なのはわかってますよ、それが自分でどうにかできるならそうしてますw
絶対時間で配信されてるのも百も承知。
その上で、その電波を分析して時刻(や座標)に直すデコーダの処理に掛かる時間が機器によって地理的条件が無視できるほど大幅に違うから嫌だなぁと思ってる。
完全理解した上でデコーダが作れればいいんだけどねぇ。そんな脳みそも時間も無いからNTPが最適解かなってところ。
# GPSドングルはGPS衛星との位置関係と距離までわかるんだから正確な時刻も逆算すれば大体わかるはずだし(実際内部でやってるかどうかどうかも知らない)、電波時計だって使う場所さえ決まっていれば遅延もほぼ決まるーー
# ーんーだけどめどい
# Googleさん配信してください
Re:いっそのことローカルなタイムサーバーを (スコア:1)
GPSってのは4基以上の電波受信で時刻補正した上で「軌道位置」と
衛星時刻からの「遅延時間」から距離を割り出してるんですが…
つまり、その逆算処理された「正確な時刻」を基準に測地してます。
Re:いっそのことローカルなタイムサーバーを (スコア:1)
すみません、書いてるときに編集間違えてますね。
「逆算」とか「内部でやってるかどうか」のくだりは間違えて消してしまっていますが、デコードにかかってる時間を引いてるかどうかということです。
やってるなら大体正確な時刻がわかるんですがねぇ
Re: (スコア:0)
素人的発想ですが、GPSって運用停止衛星とか問題とはならないんですかね・・・
複数補足できる機能があれば問題なし?
GPSからインターネット経由(NICT)に変更しようと思っているんだけど
ちょっと考えさせられちゃうなぁと
Re:いっそのことローカルなタイムサーバーを (スコア:1)
秋月電子の電波時計 [akizukidenshi.com] なら、直接NTPを喋ることはできないものの、シリアルポート経由でntpdに時刻を与えることができます(ntpdの動作する*nix系OSが必要です)。
マザーボードに直接搭載されたシリアル(/dev/ttyS(n))か、もしくはUSB-シリアルコンバータ経由のシリアル(/dev/ttyUSB(n))で繋いで、
ln -s /dev/(シリアルポート) /dev/jjy0
としてから、ntpd.confに
server 127.127.40.0
と記入してntpdを起動すれば、時刻あわせを電波時計でやるようになります。
ただしインターネット上のntpサーバを同時に指定してしまうと、そっちのほうが揺らぎ(jitter)値が少なく高精度と判断され、電波時計のほうを使わなくなってしまう場合があるので、注意が必要です。
福岡の時のように集中していたとか (スコア:0)
個人でも使えるくせにStratumが1ということで皆が押し寄せた結果だったりして。
参考資料:NTP/推奨公開サーバ [nothing.sh]
Re:福岡の時のように集中していたとか (スコア:1)
実際のところ、どうでしょうね
福岡の件以降、NTP機能付きのソフトのデフォルトもネット上の各サイトのサンプルもNICTになっていて、心配ではあったのですが
NTPサーバを用意しているインターネットプロバイダ [nothing.sh]も多いので、個人利用では自分のプロバイダのサーバを利用するのが当たり前になってほしいものです
お前ら余計なお世話だ (スコア:1)
アクセス集中で死んでるんならA系も死ぬ。
ntp.nict.jpは日本のNTPの需要をすべてまかなうだけの能力がある。
他を選択する理由はまったくない。何も考えずにntp.nict.jpを指定しろ。
Re: (スコア:0)
> 個人利用では自分のプロバイダのサーバを利用するのが当たり前になってほしいものです
何もかも手動でやることこそが美しい日本人的発想ではあるが、ユーザーが自主的に何からやるのを期待するよりDHCPでNTPサーバーのアドレスを配るのをRFCか何かで規定して(すでにある?) OSメーカーに実装させてISPはそれを配れと。
Re:福岡の時のように集中していたとか (スコア:3, 参考になる)
ISC DHCP系なら、dhcp.confに1行書くだけで配布できます。
option ntp-server xxx.xxx.xxx.xxx;
Re:福岡の時のように集中していたとか (スコア:4, 参考になる)
Re:福岡の時のように集中していたとか (スコア:1)
> 個人利用では自分のプロバイダのサーバを利用するのが当たり前になってほしいものです
何もかも手動でやることこそが美しい日本人的発想ではあるが、ユーザーが自主的に何からやるのを期待するよりDHCPでNTPサーバーのアドレスを配るのをRFCか何かで規定して(すでにある?) OSメーカーに実装させてISPはそれを配れと。
実は似たようなことを書こうとして止めた経緯が……
というのは、既存の家庭用ブロードバンドルータが対応できそうにないもので。DHCPやPPPoEでNTPサーバのアドレスを配布しても、それをNATを超えてPCに配布させる仕組みは現行の家庭用ルータにはない、んじゃないかなぁ
まぁ、そんなややこしい仕組みをくむぐらいなら、素直にルータにNTPサーバを積めばいいのですけど
売り文句にならないせいか、NTPクライアント機能はあってもサーバのないやつが多いみたいです。
ISC DHCP系なら、dhcp.confに1行書くだけで配布できます。
option ntp-server xxx.xxx.xxx.xxx;
モデレータさん、参考になるモデお願いします。
配布側の機構があるなら、ルータやOSが対応すればいいのですけどね。
Re: (スコア:0)
なーんでNTPクライアントだけ載せてんだろね
その価格帯を求める人がログの時刻正確性なんて求めてねーわ
Re: (スコア:0)
それじゃマルチホーミングのときに動作しないだろ
Re: (スコア:0)
>DHCPでNTPサーバーのアドレスを配るのをRFCか何かで規定して(すでにある?) OSメーカーに実装させてISPはそれを配れと。
たいていの ISP は DHCP を喋らないので……。
# DHCP は L2 が ethernet であることが前提。
# ISP とユーザの間は L2 が PPP なので DHCP は使えない(かわりに IPCP というプロトコルを使う)。
Re: (スコア:0)
全く同感なんですが、哀しいかなうち@niftyでして。
うちのPCもntp.nict.jpから別なものにしようと思います。
多分ntpサーバを検索して上位に出るところはどこであれいずれ同じ目に合うんでしょうから、
ntpサーバによる時刻合わせを一般ユーザーはしないようにするという
消極的解決策のほうが案外有効かもしれません。
/*
そうだ、googleがntpサーバを提供してくれればいいんだ! ……って、そりゃないか。
*/
Re:福岡の時のように集中していたとか (スコア:1)
microsoftが引き受けてくれると良いのだけれど、あそこはあそこで重いのだよね。
たまに失敗しているらしい。
Re: (スコア:0)
time.windows.comは?
Re:福岡の時のように集中していたとか (スコア:1)
まさにそれ。でも週1くらいなのに、たまに失敗してない?あと週1くらいだとずれ大きくない?
Re: (スコア:0)
Windowsはtime.windows.comになっているけど、あれを、近場にNTPサーバー持ってるところは出荷時の設定をそこにすればいいと思うんだけどね。
日本なら、ntp.nict.jpにするとか。
っていうか、ntp.nict.jpを知ってる人ってほんの一部だろうから、世の中全く困ってないんだろうな。
Re: (スコア:0)
それこそ福岡の時のようなことを考えたら自分の管理下にないサーバを指定するのは無責任でしょ。
世界中のMSXMLがXHTMLのDTDを取りに行くせいでW3Cがキレた [w3.org]こともあったな。
time.windows.comが日本から引いたら日本の近場のサーバーを返すようにするような方向性で考えたほうが建設的。
Re: (スコア:0)
さすがにこんなページ [nict.go.jp]まで用意しておいて
「個人でつながないでほしい」ということは無いと思うけど。
Re: (スコア:0)
単にNICTの中の人がトラフィック集中を甘く見ていただけだと思うよ。
Re: (スコア:0)
まだトラフィック集中が原因だからつながないでくださいというお願いはおろか原因の公式発表もないのにいつの間にか確定した事実になっていたんですね。
Re: (スコア:0)
確定した事実って、そんなはずはないんですけどね。
私 [srad.jp]は「だったりして」としか書いてません。
どうやったら文末が「です」に化けるんでしょう。文字数も何もあってない。
Re:福岡の時のように集中していたとか (スコア:1)
ACで「私は」とか言われても困ります。
たとえばその批判コメントがぶら下がっている「単にNICTの中の人がトラフィック集中を甘く見ていただけだと思うよ。 [slashdot.jp]」があなたなのかどうか、他人にはわかりません。
ACである事自体は結構ですが、自己を主張したいならIDか、あるいは同一人物であることがわかるその他の方法でお願いしますよ。
Re: (スコア:0)
なるほど、では訂正してみましょう。
確定した事実って、そんなはずはないんですけどね。
#2070752は「だったりして」としか書いてません。
どうやったら文末が「です」に化けるんでしょう。文字数も何もあってない。
「私」と書かれているかどうかが何か論旨に関係あるんですか? くっだらねえ揚げ足取り。
Re: (スコア:0)
海外 [wikipedia.org]であったように、特定の機器が異常に短い時間(海外の例では1秒毎)で問い合わせを行なっているというオチかもしれない。
Re:福岡の時のように集中していたとか (スコア:1)
どのページかは忘れましたが、「FPGAでがっつり組んだったから100万リクエスト/sec余裕っす」とか書いてた気がします。
// 本当に100万リクエスト来たらどこかのルータが悲鳴上げそう
Re:福岡の時のように集中していたとか (スコア:1)
関連リンクのところにあるこれ [srad.jp]ですね.
Re: (スコア:0)
日本限定ならjp.pool.ntp.orgで良いかな。
Re: (スコア:0)
pool.ntp.orgってStratumが統一されていないんですがNTPの仕様上Stratumが最小のサーバーの応答以外は完全に無視されるので意味がないという問題は未解決のままなのでしょうか。
Re: (スコア:0)
http://www2.nict.go.jp/w/w114/tsp/PubNtp/ [nict.go.jp] に『統計(利用数, トラフィック, ドメイン別)』ってのがあります。
現在、トラフィックとドメイン別は、閲覧できないようです。
NICTのNTPサービスはいろいろ不満なんだよなー (スコア:0)
障害の原因は何だかわからないけど、NICTのNTPサービスはいろいろ不満なんだよなー
・認証付きNTPサービスを用意してほしい(米NISTはやってる)。
信頼性がある方法で時刻を配ってほしい。
一応専用線でNICTまで繋げることはできるが……
・IPアドレスで参照できるようにしてほしい。
ntp.conf で restrict 書くの面倒なんだよ。
すでに指摘されてるように、NTPサーバを手動設定可能な人なんて個人では
ほとんどいないんだから、「超高性能Stratum1サーバを作ったんで、個人でも
みんなで参照しにきてください、ルータのデフォルトにしてもいいよ」
というものにどれだけのニーズがあるかは疑問なんだよね。
それよりも、企業や事業者に、高精度or高信頼で時刻を配ることについても
考慮してほしいなぁ。
Re:NICTのNTPサービスはいろいろ不満なんだよなー (スコア:1)
こんな所でつぶやいてないで、ニーズがある旨現場の担当 [nict.go.jp]に伝えてみたら?
Re: (スコア:0)
IPアドレスで参照できないことは若干仕方ないことのように思います。FAQより: [Q.1-2] ホスト名ではなく、IPアドレスで設定しても良いですか? [nict.go.jp]
まぁ、十中八九 (スコア:0)
予算が削られまくってるんだろうなぁ
これ以上、詳しくかけない…
Re: (スコア:0)
そりゃ書けないでしょうよ、ただの憶測で裏も取ってないんでしょうから。
現時点で原因など誰にもわからない、それでいいだろ。
Re: (スコア:0)
使える物を提供すれば、維持できないほど削減になり、
研究に集中すれば、社会還元が重要だといい、
調子いいことこの上ない。
Re: (スコア:0)
はいはい陰謀説陰謀説
Stratum1にこだわりすぎるからよくない (スコア:0)
インフラ周りも含めた最大公約数的な最適解はmfeedだと思うんだよねー
nictが公開するようになって影が薄くなった感はあるのだけど。
ぶっちゃけ (スコア:0)
片手間にやってます。
本業が・・・なので・・・は・・・なのです。
#・・・なのでAC
Re: (スコア:0)