[Cereal Keeler]

А что вы там хотели увидеть? Что-то в духе SMTP сессии, human readable? NTP не шифруется, но данные в нём передаются в бинарном формате, человеком не особо удобно читаемые. Сам не разбирал ваш pcap, но как шифрованное он совсем не выглядит:

Скрытый текст

Код:

○ → xxd Downloads/ntp.pcapng 
00000000: 0a0d 0d0a c000 0000 4d3c 2b1a 0100 0000  ........M<+.....
00000010: ffff ffff ffff ffff 0200 3600 496e 7465  ..........6.Inte
00000020: 6c28 5229 2043 6f72 6528 544d 2920 6937  l(R) Core(TM) i7
00000030: 2d33 3737 304b 2043 5055 2040 2033 2e35  -3770K CPU @ 3.5
00000040: 3047 487a 2028 7769 7468 2053 5345 342e  0GHz (with SSE4.
00000050: 3229 0000 0300 2500 3634 2d62 6974 2057  2)....%.64-bit W
00000060: 696e 646f 7773 2031 3020 2832 3248 3229  indows 10 (22H2)
00000070: 2c20 6275 696c 6420 3139 3034 3500 0000  , build 19045...
00000080: 0400 3200 4475 6d70 6361 7020 2857 6972  ..2.Dumpcap (Wir
00000090: 6573 6861 726b 2920 342e 342e 3120 2876  eshark) 4.4.1 (v
000000a0: 342e 342e 312d 302d 6735 3735 6232 6266  4.4.1-0-g575b2bf
000000b0: 3437 3436 6529 0000 0000 0000 c000 0000  4746e)..........
000000c0: 0100 0000 9000 0000 0100 0000 0000 0400  ................
000000d0: 0200 3200 5c44 6576 6963 655c 4e50 465f  ..2.\Device\NPF_
000000e0: 7b31 4435 4543 4545 312d 4430 3039 2d34  {1D5ECEE1-D009-4
000000f0: 3741 452d 3932 4138 2d32 3644 4131 4544  7AE-92A8-26DA1ED
00000100: 4141 3239 307d 0000 0300 0800 4574 6865  AA290}......Ethe
00000110: 726e 6574 0900 0100 0600 0000 0c00 2500  rnet..........%.
00000120: 3634 2d62 6974 2057 696e 646f 7773 2031  64-bit Windows 1
00000130: 3020 2832 3248 3229 2c20 6275 696c 6420  0 (22H2), build 
00000140: 3139 3034 3500 0000 0000 0000 9000 0000  19045...........
00000150: 0600 0000 7c00 0000 0000 0000 6226 0600  ....|.......b&..
00000160: 828e 8398 5a00 0000 5a00 0000 001c 7fb0  ....Z...Z.......
00000170: d028 902b 3437 4ea4 0800 4500 004c 6125  .(.+47N...E..La%
00000180: 0000 8011 ca30 c0a8 0135 1465 3909 007b  .....0...5.e9..{
00000190: 007b 0038 0f95 db00 0ae9 0000 1408 0001  .{.8............
000001a0: d935 0000 0000 ead8 3d60 f068 2807 0000  .5......=`.h(...
000001b0: 0000 0000 0000 0000 0000 0000 0000 ead8  ................
000001c0: 4b2f ac4f c53a 0000 7c00 0000 0600 0000  K/.O.:..|.......
000001d0: 7c00 0000 0000 0000 6226 0600 dceb 8498  |.......b&......
000001e0: 5a00 0000 5a00 0000 902b 3437 4ea4 001c  Z...Z....+47N...
000001f0: 7fb0 d028 0800 4500 004c 3ee5 0000 6f11  ...(..E..L>...o.
00000200: fd70 1465 3909 c0a8 0135 007b 007b 0038  .p.e9....5.{.{.8
00000210: 1a62 1c03 0ae9 0000 0032 0000 06e7 1942  .b.......2.....B
00000220: e604 ead8 49c4 f139 d50d ead8 4b2f ac4f  ....I..9....K/.O
00000230: c53a ead8 4b2f c118 fc50 ead8 4b2f c119  .:..K/...P..K/..
00000240: 1a83 0000 7c00 0000 0500 0000 6c00 0000  ....|.......l...
00000250: 0000 0000 6226 0600 1941 c498 0100 1c00  ....b&...A......
00000260: 436f 756e 7465 7273 2070 726f 7669 6465  Counters provide
00000270: 6420 6279 2064 756d 7063 6170 0200 0800  d by dumpcap....
00000280: 6226 0600 8e65 2698 0300 0800 6226 0600  b&...e&.....b&..
00000290: 1941 c498 0400 0800 ac09 0000 0000 0000  .A..............
000002a0: 0500 0800 0000 0000 0000 0000 0000 0000  ................
000002b0: 6c00 0000

[krec]

Cereal Keeler, а мой всего лишь 48 байт полезной нагрузки. Вот и не пойму что к чему.



А все началось с того, что в одном книге прочитал такое и заинтересовал этот протокол, думал там увижу эти цифры:

[Cereal Keeler]

Цитата krec:

а мой всего лишь 48 байт полезной нагрузки. »

Уже по этому можно догадаться, что никакого шифрования там в помине нет - хендшейк и обмена сертификатами будет занимать куда больше.

Я не готов сейчас показать, как разбирать пакеты нтп, но точно знаю, что это весьма старый и потому компактный протокол и точно вы там не увидите понятных человеку символов, как на визуализации.

Кстати, при аудите источникам NTP уделяется пристальное внимание, как раз потому, что подделать данные там относительно легко, при отсутствии верификации в любом виде.

[dmitryst]

Цитата Cereal Keeler:

подделать данные там относительно легко, при отсутствии верификации в любом виде »

ну есть же best practice
Я, например, использую первый вариант - несколько серверов, все сразу не взломают

[krec]

dmitryst, Cereal Keeler, Ну на Хакере статья вышла , еще 2019 году, через NTP передают данные. Только не очень понял как все это в реале применять , но тем не менее.
Вообще то хотел именно понять внутри что за данные обмениваются

dmitryst, по поводу "бест практиз" - использовать мульти сервера, это как? в сиске того же винды только по одному адресу можно синхронизировать.

[Cereal Keeler]

Цитата krec:

в сиске того же винды только по одному адресу можно синхронизировать. »

Можно перевести на понятный язык? В windows можно использовать только один NTP сервер? Я правильно понял ваши сиски-масиски?

[krec]

Cereal Keeler,

Я про эти сиски-масиски



В XP или 7-ке можно было прям из интерфейса добавить NTP сервера, на 10-ке тоже наверно можно, через реестр или политик, но это не суть.
Так вот, в "бест практиз" написано, что использовать несколько адресов, типа мультиадресная проверка. На 10-ке например, как это реализовывается? например у меня в списке 2 адреса, виндовый и nist.gov. Скорее всего оба 2-го уровня.

[Amigos]

Цитата krec:

В XP или 7-ке можно было прям из интерфейса добавить NTP сервера »

Использовался всё равно один сервер. Просто можно было выбрать "какой именно" из списка.

Цитата krec:

мультиадресная проверка. На 10-ке например, как это реализовывается? »

Запустить CMD

Код:

w32tm /stripchart /computer:ntp5.ntp-servers.net /dataonly /samples:3

w32tm /stripchart /computer:ntp1.glb.nist.gov /dataonly /samples:3

w32tm /stripchart /computer:clock.isc.org /dataonly /samples:3

pause

[dmitryst]

Цитата krec:

в сиске того же винды только по одному адресу можно синхронизировать. »

а в альтернативных системах просто пишете ваши сервера в файл конфига, с указанием приоритета. Вообще, исторически, сервер NTP должен работать под *NIX, все остальные - как клиенты. Один из серверов указываете как preferred, с него и берется основная разница, если с ним что-то не то, то берется информация с остальных сервреров.
Amigos, спасибо за cmd, утащу в закладки