サーバダウン(鯖落ち)情報 Part48
601 :FOX ★:
よんだ?
|
|
|
602 :reffi@報告人 ★:04/10/10 03:04:36 ID:???
603 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:05:11 ID:BglhdYj9
>>601
えぇ、またex5のcampusとmusic4のgeinoが爆撃されています・・・
えぇ、またex5のcampusとmusic4のgeinoが爆撃されています・・・
604 :FOX ★:04/10/10 03:07:03 ID:???
http://qb5.2ch.net/test/read.cgi/sec2chd/1095070472/199
202.222.28.160 をdeny するです
これはどこのサーバかしらん?
回り広範囲でdenyするです
202.222.28.160 をdeny するです
これはどこのサーバかしらん?
回り広範囲でdenyするです
605 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:07:04 ID:5XWWbN7A
news4vipも
606 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:08:26 ID:hRhFPmYR
http://qb5.2ch.net/test/read.cgi/sec2chd/1091634596/816
>deny 202.222.28.0/24
>ですかね
原因p2
http://qb5.2ch.net/test/read.cgi/sec2chd/1091634596/814
C:\>nslookup dp48001040.lolipop.jp
ry)
Non-authoritative answer:
Name: dp48001040.lolipop.jp
Address: 202.222.28.160
C:\>whois 202.222.28.160
ry)
Network Information:
a. [Network Number] 202.222.28.0
b. [Network Name] SAKURA-NET
g. [Organization] SRS SAKURA Internet Inc.
>deny 202.222.28.0/24
>ですかね
原因p2
http://qb5.2ch.net/test/read.cgi/sec2chd/1091634596/814
C:\>nslookup dp48001040.lolipop.jp
ry)
Non-authoritative answer:
Name: dp48001040.lolipop.jp
Address: 202.222.28.160
C:\>whois 202.222.28.160
ry)
Network Information:
a. [Network Number] 202.222.28.0
b. [Network Name] SAKURA-NET
g. [Organization] SRS SAKURA Internet Inc.
607 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:13:24 ID:ymFmN02I
もう、ex系への●でのスレ立てを禁止してほしいなぁ
608 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:14:35 ID:ANKF3Q0O
●を止めたならそれで終わってるような気がする。
609 :FOX ★:04/10/10 03:15:24 ID:???
610 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:16:31 ID:hRhFPmYR
>>609 乙です。
611 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:18:16 ID:Y5du1XBY
>>609
規制人を誘導するスレ4[報告スレではありません]
http://qb5.2ch.net/test/read.cgi/sec2chd/1090329080/474
x 202.222.16.0/20 でいきます。
o deny 202.222.28.0/24
規制人を誘導するスレ4[報告スレではありません]
http://qb5.2ch.net/test/read.cgi/sec2chd/1090329080/474
x 202.222.16.0/20 でいきます。
o deny 202.222.28.0/24
612 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:18:43 ID:uGDSyLe6
613 :FOX ★:04/10/10 03:19:27 ID:???
>>612
なれば苦労しないわけで、
なれば苦労しないわけで、
614 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:19:36 ID:BglhdYj9
>609
お疲れさまです・・・
お疲れさまです・・・
現在 deny中
221.251.37.0/24 (>>420 原因>>367)
219.117.221.0/24 (>>538 原因>>367)
202.181.96.0/20 (>>452 原因>>450)
202.222.16.0/20 (>>609 原因http://qb5.2ch.net/test/read.cgi/sec2chd/1095070472/200)
221.251.37.0/24 (>>420 原因>>367)
219.117.221.0/24 (>>538 原因>>367)
202.181.96.0/20 (>>452 原因>>450)
202.222.16.0/20 (>>609 原因http://qb5.2ch.net/test/read.cgi/sec2chd/1095070472/200)
616 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:21:37 ID:uGDSyLe6
>>613
大変ですな‥基地外に振り回され、板住人には煽られ。
大変ですな‥基地外に振り回され、板住人には煽られ。
617 :reffi@報告人 ★:04/10/10 03:22:36 ID:???
>609
乙です。
これで止まると思います。
そろそろこの問題を話し合うスレが必要かもしれませんね。
乙です。
これで止まると思います。
そろそろこの問題を話し合うスレが必要かもしれませんね。
618 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:23:55 ID:BglhdYj9
619 :FOX ★:04/10/10 03:24:00 ID:???
620 :FOX ★:04/10/10 03:26:36 ID:???
test以下不可視にして、LAが下がるのをまとう。 < ex5
621 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:28:29 ID:Y5du1XBY
ねぇ
202.222.16.0/20
これはどこから出てきた?
whoisすると
202.222.28.0/24 ( http://whois.nic.ad.jp/cgi-bin/whois_gw?key=202.222.28.0 )
になるんだが・・・
202.222.16.0/20
これはどこから出てきた?
whoisすると
202.222.28.0/24 ( http://whois.nic.ad.jp/cgi-bin/whois_gw?key=202.222.28.0 )
になるんだが・・・
622 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:33:17 ID:M8xOb4DU
202.222.16.0/20 は読み違えじゃないでしょか。
202.222.28.160
通行人さん@無名タレント<>sage<>04/10/10 02:55:15 Q1sOvmqy<> <>黒川智花ちゃん♪<>202.222.28.160[ogLuUyWgPRpAG3P0]<>202.222.28.160<>ogLuUyWgPRpAG3P0
202.222.28.160
通行人さん@無名タレント<>sage<>04/10/10 02:55:15 Q1sOvmqy<> <>黒川智花ちゃん♪<>202.222.28.160[ogLuUyWgPRpAG3P0]<>202.222.28.160<>ogLuUyWgPRpAG3P0
623 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:36:01 ID:ANKF3Q0O
p2のUAを弾くってのはどうかな?
●入りで放置してるような人はいちいちUAを変えたりしないと思うし。
予防にはなるんじゃなかろうか。
●入りで放置してるような人はいちいちUAを変えたりしないと思うし。
予防にはなるんじゃなかろうか。
624 :FOX ★:04/10/10 03:38:41 ID:???
625 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:40:05 ID:ANKF3Q0O
>>624
あーいや、今後の予防策ということで。
あーいや、今後の予防策ということで。
626 :FOX ★:04/10/10 03:40:29 ID:???
固定 IP のサーバからやられているので
そこを deny することで避けているけど
これが 一般のISPのIPふらふらするやつだったら
広範囲でそのISPをdeny するしか私にできることは無いような・・・
そこを deny することで避けているけど
これが 一般のISPのIPふらふらするやつだったら
広範囲でそのISPをdeny するしか私にできることは無いような・・・
627 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:44:48 ID:ANKF3Q0O
まあp2から2chに書き込めなければ
p2を使って爆撃しようという人も出てこないわけで。
p2を使って爆撃しようという人も出てこないわけで。
628 :動け動けウゴウゴ2ちゃんねる●:04/10/10 03:46:05 ID:yAEtKer9
そもそもUAで規制されたら
P2のUAを偽装するわけで意味ないかと思われ
とp2ユーザーの俺が言ってみる
P2のUAを偽装するわけで意味ないかと思われ
とp2ユーザーの俺が言ってみる
629 :FOX ★:04/10/10 03:47:46 ID:???
いやん、だからさー
bbs.cgi を大量に叩かれてサーバが落ちるわけで、、、
UA だろがなんだろが bbs.cgi が呼ばれてから云々は
意味が無いわけで、
bbs.cgi を大量に叩かれてサーバが落ちるわけで、、、
UA だろがなんだろが bbs.cgi が呼ばれてから云々は
意味が無いわけで、
630 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:48:22 ID:ANKF3Q0O
UA変えられるような人はそれなりにセキュリティ対策するんじゃない?
631 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:49:40 ID:uGDSyLe6
632 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:50:30 ID:ANKF3Q0O
>>629
bbs.cgiが大量に叩かれるような状況を「未然に防ぐには」UA規制もいいんじゃないかと。
bbs.cgiが大量に叩かれるような状況を「未然に防ぐには」UA規制もいいんじゃないかと。
633 :動け動けウゴウゴ2ちゃんねる●:04/10/10 03:54:06 ID:yAEtKer9
$request .= "User-Agent: Monazilla/1.00 p2/".$p2version."\r\n";
634 :FOX ★:04/10/10 03:56:17 ID:???
635 :FOX ★:04/10/10 03:56:47 ID:???
>>632
どうやって?
どうやって?
636 :ivan ◆cvDsYJeHkw :04/10/10 03:57:23 ID:Y5du1XBY
637 :動け動けウゴウゴ2ちゃんねる:04/10/10 03:58:04 ID:ANKF3Q0O
>>635
いやつまり書きこめない手段で爆撃する奴はいないだろうと。
いやつまり書きこめない手段で爆撃する奴はいないだろうと。
638 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:06:51 ID:xNEUVBB9
bbs.cgiへのDoSAってわけか
問題は●ではなくて、bbs.cgiをただ単に大量にコールすることによる攻撃と。
韓国F5の時よりも大規模かどうかは別として、あの時は単にリロードだったから、
cgi呼ぶのの方が圧倒的にインパクト強いですね。
bbs.cgiを同じIPアドレスから連続して呼べないようにすればいいのかな。
bbs.cgiの「手前」の段階で。
韓国F5の時よりも大規模かどうかは別として、あの時は単にリロードだったから、
cgi呼ぶのの方が圧倒的にインパクト強いですね。
bbs.cgiを同じIPアドレスから連続して呼べないようにすればいいのかな。
bbs.cgiの「手前」の段階で。
640 :動け動けウゴウゴ2ちゃんねる●:04/10/10 04:09:11 ID:yAEtKer9
WebサーバがPerl(だったかな)を大量に呼び出してるわけだし
それは落ちるわな・・・
確かにp2+●で書き込み禁止にすれば抑止にはなるかもしれないが
そもそも、そんな事したら現存ユーザーが怒ります
# p2は●共有ツールではありません
>>636
(・∀・)イイ!!
それは落ちるわな・・・
確かにp2+●で書き込み禁止にすれば抑止にはなるかもしれないが
そもそも、そんな事したら現存ユーザーが怒ります
# p2は●共有ツールではありません
>>636
(・∀・)イイ!!
641 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:09:41 ID:uGDSyLe6
642 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:10:09 ID:ANKF3Q0O
今のところ「鯖を落としたい」でbbs.cgiを叩いてるケースはないと思うです。
「スレ乱立したい」で叩いてるような。
まあ今後出てくるかもしれませんが。
「スレ乱立したい」で叩いてるような。
まあ今後出てくるかもしれませんが。
bbs.cgiの手前でbbs.cgiのコールを検知するとすると、
普通にやるならApacheかな。
あるいは、もっと前の段階か。
bbs.cgiだけ、選択的に検出できるとうれしいと。
普通にやるならApacheかな。
あるいは、もっと前の段階か。
bbs.cgiだけ、選択的に検出できるとうれしいと。
644 :FOX ★:04/10/10 04:12:45 ID:???
>>639
>bbs.cgiを同じIPアドレスから連続して呼べないようにすればいいのかな。
>bbs.cgiの「手前」の段階で。
そですねぇ、そんなマジックあるですか?
>>641
p2が問題なんじゃなくて、、、
攻撃している人が問題なわけで、
>>638
まさしく、そう考えています
>bbs.cgiを同じIPアドレスから連続して呼べないようにすればいいのかな。
>bbs.cgiの「手前」の段階で。
そですねぇ、そんなマジックあるですか?
>>641
p2が問題なんじゃなくて、、、
攻撃している人が問題なわけで、
>>638
まさしく、そう考えています
645 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:12:48 ID:kfc+WDIz
FreeBSD 5.3Rが出るまでちょっとさぼろうかと思っていたけど、
何か緊急策を考えないといけないのかな。
何か緊急策を考えないといけないのかな。
647 :動け動けウゴウゴ2ちゃんねる●:04/10/10 04:14:09 ID:yAEtKer9
IDSツールの導入ですかね?
それともApacheか・・・
ああ、IDSって検知するだけだから
そこから自動で.htaccessをいじるプログラムが必要なのかな?
# 使ったのが昔だから忘れてしまった
それともApacheか・・・
ああ、IDSって検知するだけだから
そこから自動で.htaccessをいじるプログラムが必要なのかな?
# 使ったのが昔だから忘れてしまった
648 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:18:08 ID:0WynJaOF
・ 。・ ・ 。・ ⌒
。・゚。・゚・゚・
∧,,∧ ヽ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄フ)))
(;`・ω・) ヽ ノ チャーハン作るね!!
/ o━━━ヽ ノ
しー-J ヽ________ノ
。・゚。・゚・゚・
∧,,∧ ヽ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄フ)))
(;`・ω・) ヽ ノ チャーハン作るね!!
/ o━━━ヽ ノ
しー-J ヽ________ノ
649 :おくら@復帰補 ★:04/10/10 04:19:39 ID:???
大学生活板に復帰かけても問題なしですか?
650 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:21:53 ID:Y5du1XBY
>649
OKだと思ったらやったら?
OKだと思ったらやったら?
651 :FOX ★:04/10/10 04:22:40 ID:???
この様な事が起った場合どうするか、
以前から考えていたことは
1) BBS で検知 (同一IPから速度A以上での投稿)
2) その IP をピンポイントで .htaccess へ投入
3) 投入されたものを外すのはまぁなにかのタイミングで、
こんなとこなんで 1) の検知さえ出来ればその先は
既存の機能の若干の改造で ok
というとこまでは整っている出ス
1) の検知が、もっと鋭敏に巻き添えあまりなく
別の方法でできるなら・・・
ってとこです。
以前から考えていたことは
1) BBS で検知 (同一IPから速度A以上での投稿)
2) その IP をピンポイントで .htaccess へ投入
3) 投入されたものを外すのはまぁなにかのタイミングで、
こんなとこなんで 1) の検知さえ出来ればその先は
既存の機能の若干の改造で ok
というとこまでは整っている出ス
1) の検知が、もっと鋭敏に巻き添えあまりなく
別の方法でできるなら・・・
ってとこです。
なんか不可視を意図的に作ってたっぽいんで
聞いてみたんですが問題なさそうですね。
聞いてみたんですが問題なさそうですね。
653 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:26:42 ID:Y5du1XBY
654 :FOX ★:04/10/10 04:30:30 ID:???
3) 投入されたものは永久規制
無限に増えていくものを作るのは・・・
だって、わしずかみ君ででっかい htaccess が期待通りに
動かないことは既に実証されているわけで、
無限に増えていくものを作るのは・・・
だって、わしずかみ君ででっかい htaccess が期待通りに
動かないことは既に実証されているわけで、
>>651
1) が簡単に検知できればいいのかな。
2) はbbs.cgiにやらせるのがいいのかなぁ。でもロック処理が面倒かも。
だったら、2) は F22 にでもやらせるか。
検知は、bbs.cgi がコールされてもいいなら、
bbs.cgi をコールした最初で無条件に、IPアドレスをキーにしてDNS呼べばいいんじゃないかと。
で、頻繁に呼ばれたことをDNSサーバ側で検知して、BBXと同じように登録してしまうと。
1) が簡単に検知できればいいのかな。
2) はbbs.cgiにやらせるのがいいのかなぁ。でもロック処理が面倒かも。
だったら、2) は F22 にでもやらせるか。
検知は、bbs.cgi がコールされてもいいなら、
bbs.cgi をコールした最初で無条件に、IPアドレスをキーにしてDNS呼べばいいんじゃないかと。
で、頻繁に呼ばれたことをDNSサーバ側で検知して、BBXと同じように登録してしまうと。
656 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:35:05 ID:Y5du1XBY
657 :FOX ★:04/10/10 04:36:12 ID:???
>>655
>検知は、bbs.cgi がコールされてもいいなら、
最初はそれで十分だと踏んでいるんですがねぇ
相手の進化スピードとの競争かも。
んで、
その為に BBS を作ったんで、既にできとります。
ただ問題は物凄い勢いで物凄い投稿をさばいているんで
検知するプログラムを組む自信が無い。。。
つまり限られた時間、限られた資源でどれだけの精度のものが組めるのか
ただ問題なのは
>検知は、bbs.cgi がコールされてもいいなら、
最初はそれで十分だと踏んでいるんですがねぇ
相手の進化スピードとの競争かも。
んで、
その為に BBS を作ったんで、既にできとります。
ただ問題は物凄い勢いで物凄い投稿をさばいているんで
検知するプログラムを組む自信が無い。。。
つまり限られた時間、限られた資源でどれだけの精度のものが組めるのか
ただ問題なのは
659 :FOX ★:04/10/10 04:40:08 ID:???
BBS の統計はこの界隈をみればわかりますが
http://stats.2ch.net/kawasemi-d/2ch.txt
現状最大で 180万投稿/日あります。
組むとしたら最低でも 500万投稿/日、できれば 10倍のキャパ
2,000万投稿/日で設計すべきで
かつこれから導入できる平均投稿数じゃなくピーク時の投稿スピードの
数倍 〜 10倍を目処に設計しなきゃならなく・・・
うぎゃっ って感じです
http://stats.2ch.net/kawasemi-d/2ch.txt
現状最大で 180万投稿/日あります。
組むとしたら最低でも 500万投稿/日、できれば 10倍のキャパ
2,000万投稿/日で設計すべきで
かつこれから導入できる平均投稿数じゃなくピーク時の投稿スピードの
数倍 〜 10倍を目処に設計しなきゃならなく・・・
うぎゃっ って感じです
>>657
検知は、ちょっと手法が必要ですね。
少なくともDBは使わないとだめでしょう。Rock54の時と同じような。
某※さんの出番な気が。
また、仕様を考えてやってみることにしますか。
で、それをDNS側と今のBBSプログラムの間に挟みこむと。
つまり、
BBSのDNS => 今のBBSのプログラム(FOXさん作)
↓
BBSのDNS => 検知プログラム => 今のBBSのプログラム
という形にすると。
検知は、ちょっと手法が必要ですね。
少なくともDBは使わないとだめでしょう。Rock54の時と同じような。
某※さんの出番な気が。
また、仕様を考えてやってみることにしますか。
で、それをDNS側と今のBBSプログラムの間に挟みこむと。
つまり、
BBSのDNS => 今のBBSのプログラム(FOXさん作)
↓
BBSのDNS => 検知プログラム => 今のBBSのプログラム
という形にすると。
661 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:40:48 ID:d73DT0wB
すみません、p2の規制はp2+レンタルサーバの組み合わせのみにして下さい。
とp2擁護発言をしてみる。
とp2擁護発言をしてみる。
>>659
そんなところですね。普通にテキストなテーブルでやったんじゃ、もたないし。
同じIPアドレスから何かがN回来たら登録、という仕組みは
既にRock54システムで作っているので、これを改良すればいいはずで、
それはBerkeley DBでデータ持っているので、それなりに高コールにも耐えるはず。
現行のBBSシステム(banana238)でできるかどうかは、やってみないとわからない部分がありますけど。
そんなところですね。普通にテキストなテーブルでやったんじゃ、もたないし。
同じIPアドレスから何かがN回来たら登録、という仕組みは
既にRock54システムで作っているので、これを改良すればいいはずで、
それはBerkeley DBでデータ持っているので、それなりに高コールにも耐えるはず。
現行のBBSシステム(banana238)でできるかどうかは、やってみないとわからない部分がありますけど。
663 :FOX ★:04/10/10 04:45:37 ID:???
>>660
ふむふむ
そんな感じかと、
1) で検知した段階で qb6 のある cgi を叩いてもらえれば with 'denyするIP'
そのあとは一気に各サーバに最新の .htaccess を配るだけで、
ふむふむ
そんな感じかと、
1) で検知した段階で qb6 のある cgi を叩いてもらえれば with 'denyするIP'
そのあとは一気に各サーバに最新の .htaccess を配るだけで、
664 :FOX ★:04/10/10 04:46:22 ID:???
901 がちょうど空いていたり、、、
901 様子がおかしいですね。
pingかからないし、リモートコンソールも応答がない模様。
今はなにもさせていないので、ハードウェアトラブル再発?
リブート依頼出します。
pingかからないし、リモートコンソールも応答がない模様。
今はなにもさせていないので、ハードウェアトラブル再発?
リブート依頼出します。
667 :動け動けウゴウゴ2ちゃんねる:04/10/10 04:55:37 ID:nj6ox1km
ロリポなら固定だし202.222.28.160だけで十分なんじゃないの?
たのむ、そうしてくれ〜〜〜 orz
たのむ、そうしてくれ〜〜〜 orz
あとは、ApacheのモジュールでCGIがコールされる前に検知できるのかも。
例えば、あるIPアドレスからM秒の間にN回同じCGIがコールされたら、
そのIPアドレスからはあらかじめ定められたP秒間、そのCGIはコールできなくする、
みたいなことをできるモジュールって、何かあるのかしら。
例えば、あるIPアドレスからM秒の間にN回同じCGIがコールされたら、
そのIPアドレスからはあらかじめ定められたP秒間、そのCGIはコールできなくする、
みたいなことをできるモジュールって、何かあるのかしら。
あ、今気がつきましたが、
現行のBBSって、IPアドレスはキーにしていないような。
つまり「どのIPアドレスからコールされたか」は、今はBBS側では検知できないですね。
というか、変えれば(IPアドレスもキーに追加すれば)いいのか。
これはそんなに難しくはなさそうですね。
さて、今日はいったん寝ます。そろそろこの話題は別に新スレかしら。
現行のBBSって、IPアドレスはキーにしていないような。
つまり「どのIPアドレスからコールされたか」は、今はBBS側では検知できないですね。
というか、変えれば(IPアドレスもキーに追加すれば)いいのか。
これはそんなに難しくはなさそうですね。
さて、今日はいったん寝ます。そろそろこの話題は別に新スレかしら。