主页 / server / 问题 / 462615
Accepted
Abraham Vegh
Asked: 2013-01-04 06:45:30 +0800 CST

为什么 ntpd 监听这么多端口/地址?

  • 772

我注意到这一点已经有一段时间了,但对我来说从来没有任何意义:

为什么ntpd需要监听这么多地址?

例如,一台 Debian 机器:

$ 网络统计
Proto Local Address Foreign Address 程序名称
udp 0.0.0.0:123 0.0.0.0:* ntpd
udp 127.0.0.1:123 0.0.0.0:* ntpd
udp [局域网]:123 0.0.0.0:* ntpd
udp [IPv4]:123 0.0.0.0:* ntpd
udp6 :::123 :::* ntpd
udp6 ::1:123 :::* ntpd
udp6 [链接本地] :::* ntpd
udp6 [IPv6] :::* ntpd

此(编辑过的)netstat列表显示nptd了对 IPv4 和 IPv6 的广播、本地、LAN 和全局地址的侦听。

为何ntpd如此滥交?

linux

2 个回答

  1. 它一点也不滥交。它只是绑定到 ipv4 和 ipv6 协议上的接口 IP 地址和本地主机。如果你认为它不应该听其中的一些,只需listen按照手册中的说明更改配置(这可能适用于你正在使用的不同版本):

     listen on address
         Specify a local IP address or a hostname the ntpd(8) daemon
         should listen on. If it appears multiple times, ntpd(8) will
         listen on each given address. If the exact string '*' is given as
         an address, ntpd(8) will listen on all local addresses. Other-
         wise, address can be followed by an asterisk ('*') and a UDP port
         number to listen on instead of the default 123. ntpd(8) does not
         listen on any address by default. For example:

               listen on *
               listen on 127.0.0.1
               listen on ::1

    在其他一些版本中,您需要更改ntpd守护程序本身的选项以更改要侦听的协议/接口(选项如-4, -6, -I

    • 17
  2. Best Answer

    从我对这个页面的阅读来看,ntp 似乎并没有完全使用 INADDR_ANY0.0.0.0地址,部分原因是出于安全原因,部分原因是出于身份验证原因。

    第一个端口 123,低于 1024,因此被认为是特权端口,只有 root 可以绑定到该端口。Ntp 通常设置为在启动后放弃特权。据我从邮件列表和文章中了解到,一旦权限被删除,就无法打开套接字以从正确的源端口 123 进行回复,因此 ntp 在删除权限之前为每个分配的地址打开套接字。

    据我了解,ntp 的一些身份验证机制基本上要求源端口和目标端口为 123,仅此而已。

    这件事还不完全清楚。请参阅有关通配符地址 0.0.0.0的部分,它出于某种原因由 ntpd 打开,但从评论来看,实际不应使用,除非在某些特殊的罕见情况下可能会出现,开发人员并不完全确定,但是,他们不不想取下插座,以防它们损坏东西。

    请注意,通常 ntpd 不应接受通配符地址上的数据包,因为如果这样做会出现许多问题,包括在与发件人请求的地址不同的地址上发送返回数据包。DannyMayer - 2009 年 4 月 27 日

    我认为您问题的主要答案在上面的评论中。

    • 15

相关问题