Cloudflare一直是部署不安全Internet协议的安全版本并使其免费供任何人使用的领导者。2014年，我们推出了世界上第一个免费、安全的HTTPS服务（通用SSL），以配合我们现有的免费HTTP计划。当我们启动1.1.1.1dns解析器时，我们还支持DNS的新安全版本（HTTPS上的DNS和TLS上的DNS）。今天，作为2019年加密周的一部分，我们正在为网络时间协议（NTP）做同样的事情，NTP是通过互联网。这个公告是我个人的事。我花了四年时间来识别和修复时间协议中的漏洞。今天，我很荣幸能为您介绍一项能让我从2015年到2019年的生活更加艰难的服务：time.cloudflare.com，一种免费时间服务，支持NTP和用于保护NTP的新兴网络时间安全（NTS）协议。现在，任何人都可以从我们位于180个城市的所有数据中心安全地获得时间世界。你可以使用time.cloudflare.com当NTP客户端仍在开发中时，它将成为您今天使用NTP的所有设备的时间来源。NTPsec包括对NTS的实验支持。如果您想了解有关NTS客户端开发的最新信息，请通过电子邮件联系我们time-services@cloudflare.com。为了使用NTS来确保时间同步，请联系您的供应商并询问NTS支持。关于"时间"的一个小故事早在2015年，作为一名对互联网安全感兴趣的应届研究生，我偶然发现了一种最深奥的互联网协议，称为网络时间协议（NTP）。NTP被设计用来同步通过不可靠和可变延迟网络路径进行通信的计算机系统之间的时间。实际上，我在研究互联网路由安全，特别是针对资源公钥基础设施（RPKI）的攻击，由于缓存刷新问题，一直处于死胡同。作为最后的努力，我决定手动回滚计算机上的时间，攻击成功了，我发现了时间对计算机安全的重要性。大多数密码学使用时间戳来限制证书和签名的有效期。当连接到网站时，知道正确的时间可以确保您看到的证书是最新的，不会被攻击者破坏。在查看日志时，时间同步可以确保不同机器上的事件能够准确地关联起来。证书和日志记录基础设施可能会因时差几分钟、几小时或几个月而中断。其他应用程序，如缓存和比特币，对时间上的微小差异都很敏感秒。2使用滚动数字的因子认证也依赖于精确的时钟。这就要求计算机时钟能够访问安全传递的合理准确的时间。NTP是因特网上最常用的时间同步协议。如果攻击者可以利用NTP中的漏洞来操纵计算机时钟上的时间，则可以破坏这些漏洞提供的安全保证系统。有动力根据问题的严重性，我决定深入研究NTP及其安全性。由于在早期就可以看到跨网络同步时间的需要，NTP是一个非常古老的协议。NTP的第一个标准化版本可以追溯到1985年，而最新的NTP版本4在2010年完成（见RFC5905）。在其最常见的模式下，NTP的工作原理是让客户机发送一个查询包到NTP服务器，然后NTP服务器用它的时钟响应。然后，客户机计算其时钟和远程时钟之间的差的估计值，并尝试对此中的网络延迟进行补偿。NTP客户端查询多个服务器并实现算法来选择最佳估计值，并拒绝明显错误的结果答案。令人惊讶够了，当时对NTP及其安全性的研究还不是很活跃。在此之前，2013年底和2014年初，通过放大来自NTP服务器的流量，实施了备受关注的分布式拒绝服务（DDoS）攻击；能够欺骗受害者IP地址的攻击者能够输送大量流量，使目标域无法承受。这引起了一些研究人员的注意。然而，这些攻击并没有利用基本协议设计中的缺陷。攻击者只是简单地将NTP用作一个无聊的带宽倍增器。Cloudflare写了大量关于这些攻击的文章，你可以在这里、这里和这里读到关于这些攻击的文章。我在核心NTP协议设计及其实现中发现了几个缺陷，网络攻击者可以利用这些缺陷通过改变时间或拒绝向NTP客户端提供服务来发起更具破坏性的攻击。更令人担忧的是，这些攻击者不需要是中间怪物（MITM），攻击者可以修改客户机和服务器之间的通信量来安装这些攻击。我们中的一位最近撰写的一组论文表明，网络上任何地方的非路径攻击者可以转移时间或拒绝向NTP客户端提供服务。其中一种方法是滥用IP碎片。碎片化是IP层的一个特性，其中一个大数据包被分割成几个较小的片段，以便它们能够通过不支持大数据包的网络。基本上，在客户端和服务器之间的路径上的任何随机网络元素都可以向服务器发送一个特殊的"需要ICMP碎片化"的数据包，告诉服务器将数据包碎片化为X字节。由于服务器不需要知道其路径上所有网络元素的IP地址，因此可以从任何源IP发送此数据包。针对NTP的碎片攻击我们的攻击，攻击者利用此功能使NTP服务器碎片化其NTP响应数据包，以供受害者NTP客户端使用。然后，攻击者从包含攻击者时间戳值的off-path中伪造精心构建的重叠响应片段。通过进一步利用重叠片段的重组策略，攻击者欺骗客户机将合法片段和攻击者插入的数据包组合起来。这避免了依赖于原始部分中的值的真实性检查数据包.NTP在1985年NTP创建时，NTP提供的服务有两个主要的设计目标。首先，他们希望它足够健壮，能够处理网络错误和设备故障。因此，它被设计成一种服务，客户机可以通过多个通信路径从多个对等点收集定时样本，然后对它们进行平均以获得更准确的结果测量。The第二个目标是负载分配。这样一来，客户机和服务器就更希望能准确地记录时间，而这些设备只需要连接高精度的时钟。因此，为了减少网络上的协议负载，对服务进行了分层设计。在层次结构的顶部是连接到非NTP时间源的服务器，这些服务器将时间分配给其他服务器，从而进一步将时间分配给更多的服务器。大多数计算机连接到第二级或第三级服务器ntp的层次结构原始规范（rfc958）也声明了协议的"非目标"，即对等身份验证和数据完整性。在相对较小且值得信任的早期互联网中，安全性不被认为是至关重要的，而依赖时间来实现安全性的协议和应用程序当时并不存在。保护NTP仅次于改进协议和实施。作为随着互联网的发展，越来越多的核心互联网协议通过加密技术得到保护，以防滥用：TLS、DNSSEC、RPKI都是确保互联网上所有通信安全的步骤。这些协议使用"时间"来提供安全保证。由于网络的安全性取决于网络传输协议的安全性，网络安全就显得尤为重要NTP。这个研究清楚地表明了保护NTP的必要性。因此，因特网协议标准机构，因特网工程任务组（IETF）对NTP进行了更多的加密认证工作。当时，尽管NTPv4同时支持对称和非对称加密认证，但由于两者的局限性，很少在实践中使用方法.NTPv4的安全同步的对称方法无法扩展，因为对称密钥必须预先共享并手动配置：想象一下，如果地球上的每个客户端都需要特殊密钥对于他们想从中获得时间的服务器，运行这些服务器的组织将不得不做大量的工作来管理密钥。这使得这个解决方案对于必须接受来自任意客户机的查询的公共服务器来说相当麻烦。就上下文而言，NIST运营着重要的公共时间服务器，并且只向每年通过美国邮件或传真注册一次的用户分发对称密钥；美国海军办公室做一些事情类似的。那个解决密钥分配问题的第一次尝试是rfc5906中描述的自动密钥协议。许多公共NTP服务器不支持自动密钥（例如，NIST和USNO时间服务器，以及pool.ntp.org). 协议被严重破坏，因为任何网络攻击者都可以轻易地检索客户端和服务器之间共享的密钥。认证机制是非标准的，具有很强的特殊性。互联网的未来是一个安全的互联网，这意味着一个经过认证和加密的互联网。但是到目前为止，尽管协议仍在不断发展，但NTP仍然基本上不安全。与此同时，越来越多的服务依赖于它。时间轴在我们的论文发表后，在网络协议标准机构、互联网工程任务组（IETF）和外界对改善NTP安全状况的热情高涨。作为一个短期修复，ntpd参考实现软件针对我们发现的几个漏洞进行了修补。为了一个长期的解决方案，社区意识到了安全的迫切需要