【国内】靖国神社HP、DoS攻撃を受ける―大半が中国からの発信[01/06]
>>270
支那はチョンと違うぞ。今回の攻撃は単純なF5じゃない。もっと悪質。
cnドメインやIPアドレスをブロックすれば終わり、という種類の攻撃じゃないからな。
基本的に回避手段がない(どころか、下手な対策をすると自滅する)ものなんだ。
昨日N速+のスレに俺が書いたレスをまとめとく。
--------
今回の攻撃(SYN floodアタック)は、韓国F5団がやっているような単純なリロードじゃなくて、例えていうなら
・ネットワーク上でものすごくたくさんのピンポンダッシュをすることで玄関を機能させなくする
・ピンポンダッシュか本当の客かどうかは、鳴らされるまで家の中からは区別がつかない
・本物の客も同じ玄関からくるので呼び鈴を撤去するのは本末転倒(かりに別な入り口を用意しても、
いたずら坊主はそっちにもくるだけ)。
という感じ。
SYN floodアタックの仕組みについては
ttp://dictionary.rbbtoday.com/Details/term2227.html
この辺を参照してね。
イメージしてもらえるかどうかわからないのだが、インターネットの通信って、まず接続元と接続先が
おたがいに呼び合って相手の返事を確認して、通信路を確保してから行われるのね。
で、 ドメインやIPアドレスではじけばいい、ってのは、その通信路が確保されたあとの話。
今回の攻撃ってのは、攻撃元は通信路を確保する気なんてそもそもさらさらなくて、
「相手をやたらたくさん呼ぶ(そして相手の返事なんて聞いちゃいねえ)」ことで、
正常なアクセスにも返事できない状態にする、という手法がとられてるのよ。
だから偽装されてるかどうかと言うのはあまり関係が無い。
彼らがIPアドレスを偽装するのは、単に靖国のサーバが「返事」したパケットを受け取って、自分のネットワークが
埋まるのを防ぐためであって、目的は自分の身元隠しではない。どうせアタックで乗っ取ったホストから攻撃して
きてるだけだし。
--------
そういうアタックなので基本的に末端のサーバ側や、ローカル側ルータではブロックできない。ブロックしようとする
行為自体が無駄な負荷になる。なので、上流で止めてもらう以外には、基本的に防ぐことが出来ない。
困ったことに、どうやら靖国はデータセンタとかにサーバを置いてるんじゃなくて、普通の法人向けFTTHサービス
(多分、broadgate-02の光ビジネスアクセス IP8。33600/月とかのヘボいサービス)の下に
自前でサーバを設置しているぽいので、ISPが「支那(あるいは韓国)からのアクセスをすべて弾く」とやってしまうと
そのサービス全体に影響が及んでしまうのよ。
靖国へのアクセスだけ選別して弾く、とかやるのは、それ自体が膨大な負荷になってしまうし。
ISP側で対策するなら別な専用ネットワークに隔離、とかだろうけど、有線は電柱や電線を盗用してたような
ところなので、そんなコストをかけるようなマトモな会社じゃないんだよね。
支那はチョンと違うぞ。今回の攻撃は単純なF5じゃない。もっと悪質。
cnドメインやIPアドレスをブロックすれば終わり、という種類の攻撃じゃないからな。
基本的に回避手段がない(どころか、下手な対策をすると自滅する)ものなんだ。
昨日N速+のスレに俺が書いたレスをまとめとく。
--------
今回の攻撃(SYN floodアタック)は、韓国F5団がやっているような単純なリロードじゃなくて、例えていうなら
・ネットワーク上でものすごくたくさんのピンポンダッシュをすることで玄関を機能させなくする
・ピンポンダッシュか本当の客かどうかは、鳴らされるまで家の中からは区別がつかない
・本物の客も同じ玄関からくるので呼び鈴を撤去するのは本末転倒(かりに別な入り口を用意しても、
いたずら坊主はそっちにもくるだけ)。
という感じ。
SYN floodアタックの仕組みについては
ttp://dictionary.rbbtoday.com/Details/term2227.html
この辺を参照してね。
イメージしてもらえるかどうかわからないのだが、インターネットの通信って、まず接続元と接続先が
おたがいに呼び合って相手の返事を確認して、通信路を確保してから行われるのね。
で、 ドメインやIPアドレスではじけばいい、ってのは、その通信路が確保されたあとの話。
今回の攻撃ってのは、攻撃元は通信路を確保する気なんてそもそもさらさらなくて、
「相手をやたらたくさん呼ぶ(そして相手の返事なんて聞いちゃいねえ)」ことで、
正常なアクセスにも返事できない状態にする、という手法がとられてるのよ。
だから偽装されてるかどうかと言うのはあまり関係が無い。
彼らがIPアドレスを偽装するのは、単に靖国のサーバが「返事」したパケットを受け取って、自分のネットワークが
埋まるのを防ぐためであって、目的は自分の身元隠しではない。どうせアタックで乗っ取ったホストから攻撃して
きてるだけだし。
--------
そういうアタックなので基本的に末端のサーバ側や、ローカル側ルータではブロックできない。ブロックしようとする
行為自体が無駄な負荷になる。なので、上流で止めてもらう以外には、基本的に防ぐことが出来ない。
困ったことに、どうやら靖国はデータセンタとかにサーバを置いてるんじゃなくて、普通の法人向けFTTHサービス
(多分、broadgate-02の光ビジネスアクセス IP8。33600/月とかのヘボいサービス)の下に
自前でサーバを設置しているぽいので、ISPが「支那(あるいは韓国)からのアクセスをすべて弾く」とやってしまうと
そのサービス全体に影響が及んでしまうのよ。
靖国へのアクセスだけ選別して弾く、とかやるのは、それ自体が膨大な負荷になってしまうし。
ISP側で対策するなら別な専用ネットワークに隔離、とかだろうけど、有線は電柱や電線を盗用してたような
ところなので、そんなコストをかけるようなマトモな会社じゃないんだよね。
|
|
|