使用Wireshark分析NTP数据包-轻识

NTP(Network Time Protocol，网络时间协议)用来在分布式时间服务器和客户端之间进行时间同步。NTP基于UDP报文进行传输，使用的UDP端口号为123。使用NTP的主要目的是对网络内所有具有时钟的设备进行时钟同步，使网络内所有设备的时钟保持一致，从而使设备能够提供基于统一时间的多种应用。对于网络中的各台设备来说，时间是很重要的，如果时间不准则可能造成很大的影响，但是如果依靠管理员手工输入命令来修改系统时钟是不可能的，不但工作量巨大，而且也不能保证时钟的精确性。通过NTP，可以很快将网络中设备的时钟进行同步，同时也能保证很高的精度。

如果局域网内设备可以访问到互联网需要手工同步时间，可以选用此网站的免费时间服务器进行同步http://www.ntp.org.cn/pool.php。

NTP服务器搭建

局域网内的很多设备是不能够访问到互联网的，所以在局域网内搭建一台时间服务是很有必要。这台NTP服务器首先与互联网的时间服务器进行同步，然后局域网内的设备与这台NTP服务器进行同步。

1.查看本机系统版本。

# cat /etc/redhat-releaseCentOS Linux release 7.7.1908 (Core)

2.安装NTP服务端软件包。

# yum -y install ntp

3.修改NTP配置文件。默认已经配置CentOS的官方时间服务器作为上游NTP服务器，你也可以配置其他NTP服务器进行同步。

vi /etc/ntp.conf

4.启动NTP服务器并设置开机自启动。

# systemctl start ntpd# systemctl enable ntpd

5.查看NTP是否同步。

ntpq -p

remote：响应这个请求的 NTP 服务器的名称。
refid：NTP 服务器使用的上一级 NTP 服务器。
st：remote 远程服务器的级别。服务器从高到低级别设定为1 - 16。
t ：u: unicast(单播), b: broadcast(广播), l: local(本地时钟)。
when：上一次成功请求之后到现在的秒数。
poll：本地机和远程服务器多少时间进行一次同步(单位为秒)。
reach：八进制值，用来测试能否和服务器连接。每成功连接一次，reach 的值将会增加。
delay：从本地机发送同步要求到 NTP 服务器的 round trip time。
offset：主机通过 NTP 时钟同步与所同步时间源的时间偏移量，单位为毫秒(ms)。offset 越接近于0，主机和 NTP 服务器的时间越接近。
jitter：用来做统计的值。统计在特定连续的连接数里 offset 的分布情况。即 jitter 数值的绝对值越小，主机的时间就越精确。

6.防火墙开放ntp服务或者直接关闭防火墙。

firewall-cmd --add-service=ntp --permanent

firewall-cmd --reload

7.客户端时间同步。

linux系统时间同步

ntpdate 192.168.52.100

windows系统时间同步

思科网络设备时间同步配置

ntp server 192.168.52.100

Wireshark抓取NTP数据包

有同学学习我的《Wireshark数据包分析》专栏课程，可以使用Wireshark抓取一下NTP数据包看看。可以看到NTP数据包交互很简单，这是一次一去一回同步时间的完整数据过程。

客户端首先向NTP服务器发送请求，可以看到NTP使用UDP协议，端口是123。并且该报文带有它离开时的时间戳。

当此NTP请求报文到达 NTP服务器时，服务端加上自己的时间戳向客户端响应请求。当客户端收到这个响应报文后，就能够根据这些信息来设定自己的时钟，使之与 NTP服务器的时钟进行同步。

NTP数据包在时间同步的时候才会产生，这种数据不会很频繁出现，如果频繁出现的话，有可能是感染上木马被人利用了，比如NTP Reply洪水攻击，这种时候就要需要特别注意了。

来源：https://blog.csdn.net/weixin_36416921/article/details/113071691

                              ‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧  END  ‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧