测试名称：关于澳门新葡官网进入网站9659时间同步服务器回环网卡使用数据包

测试目的：NTP服务器使用回环网卡发送哪些数据

测试环境：一台HJ210-BDRBP时间服务器设备

测试内容及步骤：

 1、NTSM监控软件查看到的现象

 NTSM监控软件查看现象

观察监控软件，发现时间偏差在0和200ms之间来回调到

服务器和标准源时间对比

NTP服务器和标准源时间对比

但在NTP服务器上和标准源对比偏差，发现偏差小于1ms，推断原因是ntp时间服务器数据包的时间戳原因导致的。

  2、在网络时间服务器上利用tcpdump –i lo–w lo_ntp.cap 进行抓包，并利用wirshark分析

抓包大概有三个数据包。

利用tcpdump –i lo –w lo_ntp.cap 进行抓包

   234大小包 主要内容是个sys_info ，是个系统应答。

   142 大小包，发包间隔几乎是1秒一次，

   186 大小包，发包间隔也是一秒一次，主要内如和142包格式一致，但不像142包数据数据为空，感觉186是142的查询返回数据。

对自身内核情况的查询

   从kernel loop discipline status change 来分析，应该是对自身内核情况的查询

   3、 网上查询结果

http://lists.ntp.org/pipermail/questions/2016-April/040748.html

网上认为这个一个bug，是在代码中应用一个标识位的情况另一方面, 快速浏览源代码会产生一个符号 NTP_OLDVERSION 定义为 1, 注释 "最古老的可信版本 ", 并在整个软件包中使用。

mentions the version number VN as 4 and witha quick look I havent found

> some exception for control packets.So basically this sounds like a bug.

>

> On the other hand, a quick glance atthe source code yields that a

> symbol NTP_OLDVERSION is defined as 1with comment "oldest credible

> version", and is used throughoutthe whole software package.

>

 4、在其他版本测试

在红帽2.4.32内核下，使用ntpd 4.1.1抓包并未发现这个现象

测试分析和结论：

   1、以往经验，在ntpd的4.2.0版本中，关闭回环网卡会导致ntpd不能正常启动。因此推断ntpd在做时钟服务器的时候，会查询自身内核的信息。

   2、未避免NTSM监控的误报，建议观察服务器自身在监控软件中的时间偏差，其偏差设置值的大小应该大于其偏差值。