リロードバーボンver2を作るよ

やはりもっと早い段階で爆撃されているの検出しなきゃ駄目なんだろうなぁ
ということろまでは解った。でもどうすればいいのか・・・
理想はそのurlをたたいたとき、そして処理が始まる前なんだと思うけど、
とりあえずはbbs.cgiの冒頭でやってみようかしらん

entryやmainに行く前って事？

そうね、私の知識でできるだけ早くということは
実際にbbs.cgiが動き始めて一番最初ということになるです
本当はapacheからbbs.cgiが呼ばれる前の方がいいような気もすごくしますが
やり方わかんなーい

port80宛先をiptablesでローカルのsquid待ち受けポートへ変換
データはそのまま流してlogだけ拾うとか
なんか大掛かりだ

SunOSさんのページで気になるところをぺたっと
http://sunos.saita.ma/mod_authz_iplist.html

なぜそう考えたかというと、

http://ch2.ath.cx/
http://ch2.ath.cx/awabi.html
や top@awabi 今回作った検出@awabo を観察していて常時起こっている爆撃は
その初期の段階で検出して遮断がうまく行っているようでサーバがあっぷあっぷな状態には至らない
でも観察していなかったので(夜の街にいたので)見れなかったんですが
昨夜も大規模にやられたようです、できれば爆撃は私が観察しているときにお願いしたいものです

>>79
爆撃されたからでないかな、爆撃がさったあとに復帰するといいんじゃないかな

爆撃ってのはリロードじゃなくて、書き込みのほうってこと？

どちらでも同じような、重いの激しく高速で呼ぶだけだと思う
答えなんて待たないでただ呼ぶだけ

mod_evasive module is aimed at protection from HTTP DoS/DDoS attacks and brute force attacks.
有料だそうで。。。

>>88
ああ、とにかくcgiをぶっ叩いてぶん回すだけなのか
それだとread.cgiとかbbs.cgi弄るよりapacheがcgi呼ぶ直前に仕掛けを入れた方がよさそうだな

そなのよね、

>>85 を拝見させていただこうかな

BBMをPCのIPに応用させて、ある一定数連投(爆撃)した固定IPを規制ミサイルでやっつけることは出来ないか？

Apache DoS攻撃対策 mod_evasiveインストール＆設定 ? Linux

この mod_evasive は、設定した一定時間を超えるアクセスに対して、
403(Forbidden)と返して、これまた一定時間アクセスが行えない様にする事が出来るApacheモジュールです。
http://www.makizou.com/archives/1341

こんなの見つけた
これ使いこなしたらもしかしてバーボンハウスも不要になったりするんじゃないかと
ただそれだと全鯖同時にdenyができなくなるが

ということで現作戦は撤退。
apacheのログを元に検出はうまくいかなかった。遅すぎる。
awabiに組み込んだ実験装置とっぱらいまーす。
新たな実験装置を仕込みましょう、

第二段は、bbs.cgiの冒頭で情報収集stats.2ch.netと同じように
DNSlookupの方法を用いてbbon2.2ch.netに情報を投げ
bbon2.2ch.netが爆撃を検知→今あるbbonの仕組みで遮断

をやってみよう

鯖が死にそうになるほどの爆撃を検知するだけならそんな大掛かりなログを取得しなくても、
ほんの数秒分のログを取得して異常な数のアクセスがあったら遮断でいいんじゃないの？
redisとかいうので有効期限3秒くらいにして60アクセス超えたらdenyで。

んで質問なんだが、
30 bbon2 　 1.66.100.119 (s600119.xgsspn.imtp.tachikawa.spmode.ne.jp) 51
のように bbon2では.tachikawa.spmode.ne.jpが大量に引っかかるんだけど
なぜなんですかね?

3 bbon2 　 182.249.130.243 (KD182249130243.au-net.ne.jp) 123
8 bbon2 　 178.238.232.244 (244.232.238.178.static.giga-dns.com) 109
9 bbon2 　 178.238.234.138 (138.234.238.178.static.giga-dns.com) 109
10 bbon2 　 178.238.236.207 (207.236.238.178.static.giga-dns.com) 109
11 bbon2 　 178.238.232.234 (234.232.238.178.static.giga-dns.com) 108
12 bbon2 　 106.172.158.131 (KD106172158131.ppp-bb.dion.ne.jp) 105
14 bbon2 　 113.155.5.125 (KD113155005125.ppp-bb.dion.ne.jp) 102
25 bbon2 焼 173.44.37.234 (173.44.37.234) 69
26 bbon2 　 1.66.100.119 (s600119.xgsspn.imtp.tachikawa.spmode.ne.jp) 66
32 bbon2 　 27.87.14.102 (KD027087014102.ppp-bb.dion.ne.jp) 59
33 bbon2 　 1.78.42.188 (s842188.xgsspn.imtp.tachikawa.spmode.ne.jp) 50
42 bbon2 　 178.238.232.158 (158.232.238.178.static.giga-dns.com) 34
45 bbon2 　 79.143.179.181 (181.179.143.79.static.giga-dns.com) 29


普段あまりみないのが引っかかっているのか
そもそも前から書き込みバーボンってすぐに引っかかる場合となかなか引っかからない場合があったな
K5とか1分ぐらい高速連投していてもバーボン送りにならないし

>>97
spmode.ne.jp は複数の端末でグローバルIPアドレスを共有しているからです。
ソース（PDF注意） http://www.nttdocomo.co.jp/binary/pdf/corporate/technology/rd/technical_journal/bn/vol18_3/vol18_3_038jp.pdf#page=5

bbonで引っかからなかったものがbbon2で新たに引っかかる理由については中身がわからない以上何とも言いようがない。
共有回線をバーボンから除外したり閾値を下げたりするのを設定し忘れてるんじゃないのとしか。

考えることは
1. ほんとにあらしなのか?
2. バーボン送りにして意味(弊害)があるのか?
ってとこかな

>>101
1. ほんとにあらしなのか?
　荒らしではない。前述した通り複数の端末でグローバルIPアドレスを共有しているため、バーボンに掛かりやすくなっているだけ
2. バーボン送りにして意味(弊害)があるのか?
　その回線を使っている悪意なきスマートフォン利用者が2chを閲覧できなくなる

>>100
検出の方法は今までと同じM時間内にN回でバーボン
bbon2は現バーボンよりも鋭敏つまりM,Nともに小さいだけだよーん
かつ例外はなし

これはspmodeが何をやっているのかやじうま側でも把握しやすくする
つまり末尾iに続く末尾sの誕生の予感ですね！！！１１！

apache受付
↓
deny判断
↓
bbs.cgi起動
↓
bbon2.2ch.net送信
↓
bbsご本尊をbgで起動指示
↓
書き込みを受け付けました表示
↓
apacheおわり

とすれば、apacheでの負担が減らないかしら？

spmodeもサブスクライバを付けるようになってからそれを排除すれば良いかと。

>>105
apache受付
↓
deny判断

本当はここで判断したいよね、しかし技術がないｳﾘ

>>107
→deny判断
apacheさんが.htaccessを読みいっている部分かと思うですです。
ので、せっせと.htaccessをこさえてあげれば良いのでは無いかと。

そうそう、凡例としては、ぶーぼん（boo2008専用bbon）ですです。

39 BBON.engawa.5476 　 114.158.150.162 (p7162-ipngn901marunouchi.tokyo.ocn.ne.jp) 2
45 BBON.uni.2177 　 114.158.144.163 (p1163-ipngn901marunouchi.tokyo.ocn.ne.jp) 1

いつものかな

こんなんあった
ttp://blog.neko.me/article/46080289.html

>>111
どんなものかというと、同じIPから単位時間あたりに閾値以上のアクセスが来たら環境変数をフラグアップ。
その値をmod_rewriteで見て何処へでも好きなところへ飛ばせるという超便利ツールです。


ほほう。
spモードみたいな特定のIPアドレスを除外できるのであれば、、、

dd

ピロリ、最近お警察がなにかして来た？

>>112
> また、特定のIPアドレスからのアクセスや、特定のURLへのアクセスを特別扱いしたりすることも柔軟にできます。

面白そう。はてなもどこかで使ってるのかなこれ
http://d.hatena.ne.jp/stanaka/20070204/1170553603
>データを共有メモリに配置し、サーバ単位で計測することにより、preforkモデルのApacheで多数のプロセスを立ち上げている場合でも、正確に計測できます。

以外と手近なところにあったんだね、これでいいじゃん

58 bbon2:awabi 　 180.53.21.103 (p22103-ipngn602marunouchi.tokyo.ocn.ne.jp) 8
60 bbon2:awabi 　 114.178.192.86 (p25086-ipngn2001marunouchi.tokyo.ocn.ne.jp) 0

あわび重いと思ったら案の定

速い
http://awabi.2ch.net/test/read.cgi/poverty/1327656061/25 2012/01/27 18:28:08.60 ID:2n+hn4YR0
http://awabi.2ch.net/test/read.cgi/poverty/1327656061/1001 2012/01/27 18:29:08.83 ID:2n+hn4YR0

>>117
にちゃんらしい味わいぶかさを何かちょいたし

鰊ってこれ？

あれから鰊は何処へ行ったやら〜♪
のエラーが連投しなくても頻繁に出るという報告が多数上がってますが
これは一体どういうものなの？普通に使ってる人の回避法教えて下さい。

>>122
表示秒数経過してから書きこむ

表示秒数って12秒固定ですか？
表示しないブラウザ使ってるのでわからないのですが

>>124
固定じゃないみたい。

わかりました。親切にありがとうございます。

表示秒数関係なく書き込めないようです。
Wiｆｉでノートパソコンから書けなくなりました。
iPhoneの方は書き込めます。

>>127
因みにこれはノートパソコンから書いています。

ＩPアドレスが変わるとダメですか？

そのようです

●を持っていて書き込めないとかどうにかならないのですか？

鰊の件はこちらで情報交換しては？

あれから鰊は何処へ行ったやら〜♪ 総合スレ★１
http://qb5.2ch.net/test/read.cgi/operate/1327677618/

>>127-129
自分です。

>>132
そちらは見ています。自分と逆にiPhoneから書けなくてPCで書けるという人も居ます。

利用者数の多いエリアからだとiPhoneでかけないとか？

>>131
●は過去ログ読むためのものなので、まったく関係ありません。

dat落ちしたスレッド・過去ログを読むことができる。
規制対象のホストからも書き込める
プロキシ経由でも書き込める
連続投稿規制の緩和
スレッド作成時の規制の緩和
名前欄に●を出すことが出来る。
２ちゃんねるビューア●ユーザーしか書き込めない掲示板に書き込めるようになる。

http://2ch.tora3.net/maru.html

>>137
２ちゃんねるでは、荒らし行為・迷惑行為などの対策として、書き込みを終えてから次の書き込みが出来るようになるまでの間隔を各掲示板で設定しています。
盛り上がる実況中、真剣な議論中、楽しい会話中･･･荒らしでないのに「○秒たたないと書けません･･･」ばかりでイライラ。
２ちゃんねるビューア●は、そんなイライラする待ち時間を大幅に短縮することが出来ます。

>>137
２ちゃんねるでは度々、あるリモートホストの利用者全てからの書き込みを禁止する規制があり、
ホスト規制と呼ばれています。
２ちゃんねるビューア●を使えば、規制対象のリモートホストからでも書き込むことが出来ます。

ああ、その緩和は公式なのか。
よかったじゃん。

>>136
此れだけじゃないと言うことです。

>>141
とりあえず鰊には関係ないわな。

鰊は後からできたモノ（つい先日）だから、http://2ch.tora3.net/maru.html の仕様通りではないと思うよ。
まだ実験始まったばかりなんだし様子みようず

Apacheに行く前にPFで弾いたりできないの？
>>103
つまり旧BBONが長時間の連投向けで
bbon2がK5みたいな短時間の爆撃向けってこと？
どんくらいで集計してんだろ

そそっ

まぁ分よりしたのオーダーかな
いろいろ数字を試している

しつこく引っかかり続けてるものを本格的にbbonに飛ばすことは考えてる？

誰がなにに引っかかってるの?

爆撃スクリプトとか
呼び出されはするけど弾いて処理はしないでOKなら
それはそれで

そういえば，昔こんなことを話してたのを思い出しました．
http://qb5.2ch.net/test/read.cgi/operate/1140540754/799-n
( http://qb5.2ch.net/operate/kako/1140/11405/1140540754.html )
bbs.cgi は DSO にしてバーボン的な処理を行い，
そこをパスしたら bbs-speedy.cgi（従来通りの SpeedyCGI）
に引き継いで処理続行すると．まぁ，以下のような感じでしょうか．

----[bbs.cgi (bbs.c)]-------------------------------------------------
#include <httpd.h>
#include <http_protocol.h>
#include <http_request.h>

int dso_main(request_rec *r, int argc, char **argv)
{
    /* ここでバーボン的な処理をいろいろ */
    if (弾く) {
        r->status = HTTP_FORBIDDEN;
        ap_rputs("鰊は何たらかんたら\n", r);
    }
    else
        /* パスしたので bbs-speedy.cgi に処理を引き継ぐ */
        ap_internal_redirect("/test/bbs-speedy.cgi", r);
    return OK;
}
----[httpd.conf (or .htaccess)]---------------------------------------
<Files bbs.cgi>
    SetHandler dso-script
</Files>
<Files bbs-speedy.cgi>
    # bbs.cgi 経由でない直アクセスは Deny
    Deny from all
    Allow from env=REDIRECT_STATUS
</Files>
----------------------------------------------------------------------

注文選別して専属下請けにぶん投げると

惜しいな
昨日はengawaが一回死亡判定になっちゃったな

http://ch2.ath.cx/

昨日の問題はここなのか？

だいぶキツくなってるのかなバーボン・・・
実況で引っかかるのは勘弁

engawaでは負荷率100代で御招待は厳しいです

そもそも俺はこの朝鮮バカ犬には関わりたくもないしずっと無視し続けてきたんだが
馬鹿犬が無思慮に絡んできた挙句にこういうことになってる。
人間関係とかへどが出るわｗ

起爆しましたｗ

もっと極端に敏感でもいいかも。
K5が18秒で容量オーバー達成してる。

具体例
http://engawa.2ch.net/test/read.cgi/poverty/1331327055/160-

これが10レス程度で止まるといいのになー

どうすればいいんだろう

1レスの投稿容量が大きい場合はポイント2倍とか3倍とかして
早く閾値を超えさせえるってのは無理なんかな？
ダブリでリストへ送りつけるとかして

改造版とかあるのか
http://wp.serpere.info/archives/tag/mod_dosdetector

もう導入済み？

あ

あ