TP-Link製のWi-Fi中継器が高頻度のリクエスト連発で月間715MBも通信していたことが判明

by Adi Goldstein

ネットワーク機器メーカー・TP-LinkのWi-Fi(無線LAN)中継器が、NTPクエリを5秒おきに6件のサーバーに送信し、月に715.4MBも通信していた事実が明らかになっています。TP-Linkではファームウェア更新を進めており、問題は解決に向かっています。

＜更新＞TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して - TP-Link
http://www.tp-link.jp/news-details-17792.html

TP-Link repeater firmware squanders 715 MB/month – Ctrl blog
https://www.ctrl.blog/entry/tplink-aggressive-ntp

問題が起きていたのはTP-LinkのWi-Fiルーターではなく「Wi-Fi中継器」。中継器はインターネットに接続しているのかを確認するために、時刻同期に用いるNTPサーバーへリクエストを送っていました。この動作自体は他のネットワーク機器などでも行われている問題のないものなのですが、常時接続環境にあるWindowsクライアントが、DNSクエリ1件とNTPクエリ1件を「1週間に1回」の頻度で送信するのに対して、問題の機器では「5秒に1回」という高頻度で送信していました。ちなみに、5分おきのクエリ送信でも「かなり頻繁なチェック」といわれる部類です。

1回のクエリ送信の通信量はCtrl blogによると「約1.38KB」とごくわずかなものですが、高頻度で送信することにより、1日の通信量は23.85MBに上り、月間だと715MBにまで膨れあがります。前述の「かなり頻繁なチェック」でも、月間通信量は11.92MBなので、これが尋常ではない数字であることがわかります。

ちなみに、この通信先であるNTPサーバーはファームウェアに情報が書き込まれているため、ユーザーが通常の手段で書き換えることはできません。TP-Linkでは、福岡大学を含むNTPサーバー提供元と連絡を取り、負荷軽減に取り組んでいるとのこと。福岡大学のNTPサーバーは、以前からTP-Link以外のネットワーク機器にもアドレスが書き込まれていてアクセスが殺到し、事実上のDoS攻撃状態となっており、関係者が苦労していることが知られていました。

福岡大学の公開NTPサーバーに関するまとめ - Togetter
https://togetter.com/li/1182233

TP-Linkは、Wi-Fi中継器の管理画面にアクセスしたときだけNTPサーバーと通信するようにファームウェアを更新し、順次、アップグレードの適用を進めています。