记一次NTP服务异常连接的安全排查

admin
admin
admin
0
文章
0
评论
2026-05-17 04:38:11 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档记录了从安全设备告警出发对NTP服务异常连接的完整排查过程,通过检查chronyd服务状态、日志分析、配置审查和chronyc命令验证,确认告警IP均为centos.pool.ntp.org池中的合法时间服务器,最终判定为正常时间同步行为而非安全威胁,并给出了架设内网NTP服务器或加白名单的处置建议。 综合评分: 82 文章分类: 应急响应,安全运营,威胁情报

cover_image

记一次NTP服务异常连接的安全排查

原创

凉城 凉城

ListSec

2026年5月11日 21:21 美国

在小说阅读器读本章

去阅读

记一次NTP服务异常连接的安全排查

发现告警

安全设备告警发现异常NTP连接(ip:119.28.206.193),大量NTP协议连接,确认和NTP有关。

排查过程

查看系统使用的是什么时间同步服务,先确认服务名:

systemctl status ntpd chronyd ntpsec systemd-timesyncd --no-pager

从输出中可以看到时间同步进程的路径(/usr/sbin/chronyd)以及曾经通信过的 NTP 服务器 IP。

查看chronyd服务近期通信的日志,从输出中可看到曾经通信过的 NTP 服务器 IP。

journalctl -u chronyd --since "2026-05-08" --no-pager

#输出如下:
-- Logs begin at Sat 2026-02-07 01:21:01 CST, end at Mon 2026-05-11 10:17:07 CST. --
May 10 13:13:14 localhost.localdomain chronyd[940]: Source 119.28.206.193 replaced with 116.203.151.74
May 10 14:56:19 localhost.localdomain chronyd[940]: Source 116.203.151.74 replaced with 193.182.111.142

进一步查看时间同步的配置文件,定位具体的NTP池域名

可以知道有四个域名

0.centos.pool.ntp.org
1.centos.pool.ntp.org
2.centos.pool.ntp.org
3.centos.pool.ntp.org

这些域名会解析成不同的公网 NTP 节点,所以告警中的 119.28.206.193、5.79.108.34、116.203.151.74、193.182.111.142 都可能是池里的上游时间服务器。

查看当前NTP同步源

chronyc sources -v

# 查看 chronyd 当前正在使用哪些 NTP 时间源,以及这些时间源状态是否正常
# chronyc sources -v

210 Number of sources = 4

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||      Reachability register (octal) -.           |  xxxx = adjusted offset,
||      Log2(Polling interval) --.      |          |  yyyy = measured offset,
||                                \     |          |  zzzz = estimated error.
||                                 |    |           \
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^+ 14.103.157.44                 3  10   377   23m   +218us[ +222us] +/-   47ms
^- time.cloudflare.com           3  10   377   892  +2626us[+2630us] +/-   95ms
^* 139.199.215.251               2  10   377   789    +88us[  +92us] +/-   32ms
^- 193.182.111.142               2  10   377   22m    -12ms[  -12ms] +/-  111ms

这些字段的含义:

第一列是模式,^ 表示 server,= 表示 peer,# 表示本地时钟。
第二列是状态,* 表示当前正在使用的同步源,+ 表示可参与组合的候选源,- 表示可达但当前未采用,? 表示不可达,x 表示时间可能有错误,~ 表示时间波动太大。

所有说当前服务器的NTP同步源是139.199.215.251这个ip地址。^* 139.199.215.251 2  10 377 789  +88us[+92us] +/- 32ms:表示当前系统正在使用 139.199.215.251 作为 NTP 同步源,它是 Stratum 2,最近 8 次轮询都成功,大约 789 秒前收到响应,本机时间与它的偏差很小,状态正常。

微步查下这个ip:139.199.215.251

https://www.ntppool.org/scores/139.199.215.251,这个ip属于腾讯的时间同步源。

之前告警的ip也是时间同步服务器

结论

  • • 告警原因:正常的时间同步行为,来源为腾讯云 NTP 源

  • • 当前同步源139.199.215.251

  • • 涉及 NTP 池域名0~3.centos.pool.ntp.org

  • • 处置建议

  • ◦ 内网专门架设NTP服务器,使用内网NTP同步服务器进行时间同步。

  • ◦ 将上述 IP 及域名加入安全设备白名单,或忽略此告警。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:ListSec 凉城 凉城《记一次NTP服务异常连接的安全排查》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0