SYN　Flood●（２ｃｈの危機）

今回の大規模なトラブルについてUnix板の考える対策はどうでしょう？


韓国攻撃の状況証拠

韓国掲示板（ここで２ちゃん攻撃が扇動されている）
http://bbs.korea.co.kr/cgi-bin/view.cgi?table=business&id=70050770&pos=0&page=1
↑の日本語訳
http://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050770%26pos%3D0%26page%3D1+&x=13&y=9
首相官邸も攻撃目標？
http://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050850%26pos%3D1%26page%3D1&x=17&y=13

夜勤が取っていたログ
http://mentai.2ch.net/test/read.cgi/accuse/1013274655/170-

2get

歴史歪曲日本中等教科書検定通過反対 2.23 ネチズン総決起提案

〓 右翼が集まる日本内団体たちのホームページで仮想連座デモを起こそう!!!
※ 日付 : 2月 23日 (土)
※ 時間 : AM 9 :00 / 12 :00 / PM 3 :00 / 6 :00 / 9 :00
(各時刻以後 30分間サーバーがいたむまで..)
※ 標的 : 下のサイト
日本で一番大きくなった掲示板 2チャンネル
http://www.2ch.net
http://kaba.2ch.net/korea/
http://kaba.2ch.net/news2/
http://tmp.2ch.net/asia/
http://choco.2ch.net/news/
http://mentai.2ch.net/china/
http://ton.2ch.net/taiwan/
http://mentai.2ch.net/history/
http://mentai.2ch.net/whis/
http://ex.2ch.net/entrance/
その他にも多く ...

目にもの見せましょう. 韓国ネチズン 150万名が同時に攻めこんで
日本社会の右傾傾向に警鐘を鳴らしましょう!
↑
150万にﾜﾗﾀ

フィルタ掛けてハイお終い♪

　　 　 　 　 　 　 　 　 ∩
　　 　 　 　 　 　 　 　 | |
　　 　 　 　 　 　 　 　 | |
　　　 　 　 ∧＿∧ 　 | |　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　 　 （　´Д｀）／/＜　先生！SYN Floodに対抗するFilterってどうやるんですか?
　　　　　 ／ 　 　 　 /　　 ＼
　　　　 / /|　　　　/ 　　　　 ￣￣￣￣￣￣￣￣￣￣￣￣￣
　 ＿＿| | .|　　　　|
　 ＼　 ￣￣￣￣￣￣￣＼
　　||＼　　　　　　　　　　 　 ＼
　　||＼||￣￣￣￣￣￣￣||￣
　　||　 ||￣￣￣￣￣￣￣||
　　 　 .||　 　 　 　 　 　 　 ||　
source address偽造されてるんだから
どうしようもないんじゃ？

うむ、>>5の言う通りSYN FloodにFilterで対抗するのは無理だわな。
単純な負荷攻撃だったら、source addressでの接続数の制限を行えるんだけど。

そういや、FreeBSD 4.5Rから使えるようになった
syncache & syncookiesの複合技は、相当強力なSYN Flooding攻撃にも
耐えるって話を本家のメーリングリストで聞いた覚えがあるんだが、
具体的な数値を忘れてしまった。スマソ。

　皆さんはさーん

今回の犯人？　2ch攻撃ツール
ttp://home.graffiti.net/bakeratta845/D-born.htm

調べたら、LinuxのSYN Flood対策はiptablesレベルでできるのね。
不勉強ﾀﾞﾀｰﾖ。

source addressを偽造といっても、
相手が生きている場合は攻撃効果さがる。
てことはsource addressはそれなりにreachableなところだとマズイ。
てことはsource addressが乱数であっても、
攻撃に有用なsource addressは無数にあるわけじゃない。

と思うんだけど間違ってる？？

>>9
ん? LinuxのSYN Flood対策って、単なるSYN cookiesじゃなかったっけ?
つーか、どうやったらSYN FloodをFilterで防げるのか、すごく気になる。

仕返しの方法を考えて!

コリアンって本当に頭悪いね。
だから世界中から嫌われてんだよ。

>>12
AFO
>>13
そーゆー問題じゃないって(;´Д｀)ﾊｧ…どーしょ…

今めちゃくちゃ遅いけど、これって攻撃受けてんの？全然書きこめない。。。

>>15
そゆ事。
遊び半分を含めて何らかのツールを使って攻撃されてると。
規制不能。鯖がとびまくってます

２ちゃんねる撲滅プロジェクト支援ツール『D-Born』
これで攻撃されている。

>>8 のツールって、任意の鯖を狙えるの？
ウチの鯖が狙われたら・・・ブルブル

>>16
>>17

どうもありがとう。いやですねぇ。世の中物騒で・・・。

断続的に 80 閉じてるね。悪いとは思ったが、
# nmap -p 80 pc.2ch.net
やらせてもらった。

>20
へ、nmapしてなにがわかるよ。

>>18
２ちゃん鯖以外はターゲット指定できない、とかいう話出てた。
俺は試してないから実際は不明だが。

テキストファイルに鯖の名前書くだけなので
汎用品として使えるねこれ < D-born
rawソケットつかってるって書いてあるから、
間違いなく生でSYNとか飛ばしてそうな雰囲気ムンムン

>>21
そうはいうけどnessus打って診て見るわけにもいかんでしょ

>>21
80/tcp filtered http になってる時があるがなにか？

>24
なにがしりたいの?
*.2ch.net:80 への connectがECONNREFUSEDになるかどうか?

filteredならlistenのバッグログにキューされてるだけ、
refusedならそこからも溢れた
ってだけだろ。

Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy
Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy　Bankruptcy

２ちゃんねる撲滅プロジェクト支援ツール『D-Born』 　　　　　　
これで今現在、攻撃されている。

>>29
ｺﾋﾟﾍﾟｶｺﾜﾙｲ

んで、SYN Cookies は有効にしてるんですか? あと、常識的なfilter
(192.168.0.0/16 ... の叩き落とし)は? D-Bornのパケット覗きもし
ないで言ってるけど。

syn_cookiesは今週中にテスト導入されそう。
d-bornはIPを偽装してport80にSYNパケットを送るツール。
既に何人かが隔離した環境でテストしている。

>>31
please die -- thank you for your consideration

つーことは，テストの結果待ち？

http://mentai.2ch.net/test/read.cgi/accuse/1013428994/
現スレ

>>35
ありがとー　逝ってくるよ

>>33
ふーん

You bankruptcy！！

DQNなﾁｮﾝを発見！報告age!

サイバーデモ隊 "アンチジャパン"の高校生たち
http://korea.hanmir.com/ktj.cgi?url=http://kr.dailynews.yahoo.com/pg/yp/20020206/p2020206l0464.00.html

パトリオットみたいなツールつかって打ち落としてくれないかな。

サイバー攻撃しているヤツにミサイル一丁

>39
s/DQN/童貞/

D-Bornｳｹﾙ
同じ穴のむじなってとこか

ソース偽造SYNアタック。ってさ、根本的に防ぐ方法ないよね。

あるとすれば、
接続業者が、自分のところに割り当てられたアドレス
以外のソースアドレスでの発信はフィルタで叩き落すって
ことくらいしか思い浮かばない。

メールの不正中継みたいに、すべての接続業者が
責任もって対策する必要あるよね。

初めまして、ホーです。
UNIXについて、全く知識が無いですけど
ここで出た単語調べまくってりゃなんとかなるかと
甘い考えを持ってきました。
だから、適当に寄生させて頂きます。

>>43
もう言い尽くされた感があるな。Ingress/Egress フィルタ。
いくつかの ISP では、既にやってくれてるけど。

え〜先に書いておくぞ

この後，>>44（･∀･）ｶｴﾚ!!
とかいって，荒らさないように！

>>45
でも、発信元のISPがやらないとなんともできないね

みなさんはさーん

>>45
大学とかヌルイからな･･･
大学回線でやられたら，やばいぞ

>49
最近だとW大とかやられまくってたみたいね。

で、どうやって回避したんだろね？

>>47
たとえばOCNみたいにバカでかいとこだと、同じISP内に大量に
IPがあるわけで、「内側からか、どうか」だけの単純なフィルタじゃ
防げないと思うんだけど、あってる？

W大のアドミン来てくれとかいってみるテスト

いや、攻撃元になってたってことっしょ。攻撃を受けたのではなくて。

がいしゅつだったらスマソ
http://www.zdnet.co.jp/help/tips/linux/l0105.html

怒涛のガイシュツっぷりです。

>>55
まぁ，導入する方向らしいが･･･
>>32によると

>>52
別にそれほど難しい事じゃないよ。
出口でやるのが難しいなら、端のアクセス回線毎にやればいいだけ。
節目節目にはルータがあるんだからさ。
要はISPにやる気があるかどうか。

>58
んだね。でもやる気ないね。ウツだ。
法規制でもしてくれとかいってみる試験。

またきやがった・・・
防ぐことはできんのか？

372 名前：韓国人 投稿日：02/02/11 19:58 ID:em3M55s+
コルァッ！
ttp://bbs.korea.co.kr/の荒し依頼って、機械翻訳使った日本人の書き込みじゃないか！

大変だと思ってたのに…ｼﾞｻﾞｸｼﾞｴﾝだったのかよ。


505 名前：韓国人 投稿日：02/02/11 20:30 ID:em3M55s+
>>457
ttp://www.antijap.wo.ro/にも荒し計画はない。

さっき韓国の大型掲示板と反日サイトを回ってきたところだけど、それらしき話は無かった。
まだいくつか残ってるけど、もっと調べてみる。
まあ、閉鎖的コミュニティでこっそりやってるのなら仕方ないけど。

んじゃ。

707 名前：韓国人 投稿日：02/02/11 21:27 ID:em3M55s+
おーいっ。みんな無視かよ（涙

どりあえず、
ttp://bbs.korea.co.kr/cgi-bin/view.cgi?table=business&id=70050770&pos=0&page=1
は日韓翻訳機を使ってる。これは日本人の書き込み。
ttp://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050850%26pos%3D1%26page%3D1&x=17&y=13
はよくわからん。翻訳機は使ってない。しかし翻訳体らしいものがある。
韓国語を知ってる日本人か、ただ日本翻訳文体を使う韓国人かよくわからない。
なぜかIPは韓国PROXYだし。

ttp://www.antijap.wo.ro/と、他の反日サイトでもサイバーテロ計画は見えなかった。
韓国の大型掲示板もほとんどチェックしてみたけど、それらしきものは無い。
俺が確認出来るのはここまで。

…韓国人の攻撃ではないことを祈るよ。


819 名前：韓国人 投稿日：02/02/11 22:40 ID:em3M55s+
>>798
>「倭人の右翼が集まるホームページを攻撃して ! 」
>http://korea.hanmir.com/ktj.cgi?url=http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi%3fmode%3dread%26num%3d319%26db%3dvictoriasky01b%26backdepth%3d1

それ、日本人が書き込んでる。
http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi?mode=read&num=319&db=victoriasky01b&backdepth=1
命令形の「攻撃して」は韓国語では「KONG-KYUK-HAE-RA」という。
しかしそこは「KONG-KYUK-HA-GO」になってる。これじゃ連用形の意味。
機械翻訳するとよくこうなる。

近隣国を巻き込んだ倭人厨房のジサークかよ…

ウニ板より
>>62
> 707 名前：韓国人 投稿日：02/02/11 21:27 ID:em3M55s+
> おーいっ。みんな無視かよ（涙
>
> どりあえず、
> ttp://bbs.korea.co.kr/cgi-bin/view.cgi?table=business&id=70050770&pos=0&page=1
> は日韓翻訳機を使ってる。これは日本人の書き込み。
> ttp://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050850%26pos%3D1%26page%3D1&x=17&y=13
> はよくわからん。翻訳機は使ってない。しかし翻訳体らしいものがある。
> 韓国語を知ってる日本人か、ただ日本翻訳文体を使う韓国人かよくわからない。
> なぜかIPは韓国PROXYだし。
>
> ttp://www.antijap.wo.ro/と、他の反日サイトでもサイバーテロ計画は見えなかった。
> 韓国の大型掲示板もほとんどチェックしてみたけど、それらしきものは無い。
> 俺が確認出来るのはここまで。
>
> …韓国人の攻撃ではないことを祈るよ。
>
>
> 819 名前：韓国人 投稿日：02/02/11 22:40 ID:em3M55s+
> >>798
> >「倭人の右翼が集まるホームページを攻撃して ! 」
> >http://korea.hanmir.com/ktj.cgi?url=http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi%3fmode%3dread%26num%3d319%26db%3dvictoriasky01b%26backdepth%3d1
>
> それ、日本人が書き込んでる。
> http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi?mode=read&num=319&db=victoriasky01b&backdepth=1
> 命令形の「攻撃して」は韓国語では「KONG-KYUK-HAE-RA」という。
> しかしそこは「KONG-KYUK-HA-GO」になってる。これじゃ連用形の意味。
> 機械翻訳するとよくこうなる。
>

すまん、間違えた

今回の２ちゃん攻撃事件だが、ポイントは２つある

２ちゃんねると韓国の掲示板をつかって、今回の事件が
韓国からの攻撃だと騒ぎ立てている人

２ちゃん攻撃ツールを作成・配布した(ようにみえる人)が、
「２ちゃんねる撲滅委員会運営委員長 鈴木むねおちゃん」をなのっている

考えられることは、まず、日韓間系が悪くなることをねらっている何者かが、
うまく２ちゃんねるを煽って、全板に嫌韓感情を広めようと裏で動いてるはず
煽られて、韓国からの攻撃とおもって煽られている奴がたくさんいる
とうせ、韓国の掲示板でわざと攻撃予告をしたか、
誰かが攻撃予告したのを利用しただけだろう
この場合、裏で動いてるのはおそらく北朝鮮だろう

しかし、犯人が、「むねおちゃん」って名乗っているのも、関係があるかもしれない
「むねおちゃん」を名乗られることで、おこった鈴木ムネオが、２ちゃんねるに閉鎖圧力を
かけることを期待してるのかもしれない
当然、本気で圧力をかければ、相当影響力があるので、本当に裏から手を回されて閉鎖される可能性が高い
この場合は、北朝鮮だけでなく、２ちゃんねるを潰したい何者かがたくらんでいるだろう
ここまでして潰そうとすることは、特定の個人や企業が告発されてしかけてるんではなくて、
２ちゃんねるの存在によって、世論や社会が自分たちの不利な方向に動くと見ている集団のだれかが
たくらんだものだろう

＞６５
そっくりいただきます（ｗ

>>39
そいつら時代背景とか分からんのだろうな。
生まれてなかったんだから(藁

特定のＩＰからじゃないとアクセスできないっていうのは無理なの？
ランダムでくるなら逆に一個しか接続できなくしちゃうの
んで、それようの串を誰かが提供…
って無理か

>>69
その串が攻撃されてあぼーん。か普通に負荷で落ちない？

>>69
今度はそのproxyが攻撃対象になるだけです

報復の準備をせよ

>>72
逆に報復されて2chも死ぬからダメ

>72
ブッシュ？

報復するとしたら攻撃対象はどこになるんだ？

>75
ｱﾝｸﾞﾗ系じゃないの？

報復より、柳作戦ですな

攻撃対象：>>75のきんたまをロックオンしましたぁっ！！

温かく見守りつつ放置の方向でおねがいします。

http://choco.2ch.net/test/read.cgi/news/1013431087/

攻撃開始日時決定！

ふぁいなるあんさー？・・・正解！>>79

記念カキコ

>>80
ねぇ，何か
>ＵＮＩＸ板の有志が立ち上がりました。
とかいってるけど･･･

やるの？俺はやらんぞ

>>83
ワラタ
誰だ、んなこと言ってんのは。

アンチ２ch、韓国を装い２chに攻撃
↓
それに踊らされた２ちゃんねらーが韓国に報復
↓
待ってましたとばかりに朝日が報道
↓
特集で右翼のレッテル貼り
↓
2ch閉鎖に追い込む
↓
２ちゃんねらー以外全員(ﾟдﾟ)ｳﾏｰ

↓
(ﾟдﾟ)ｳﾏｰ

(ﾟдﾟ)ﾏｽﾞｰ
http://mentai.2ch.net/test/read.cgi/accuse/1013428994/507-n

>>85-86
はチョン。

問題がこちらに持ち込まれそうな雰囲気

>>89
ばれた

厨房は一回さわぎだすとしばらくうるさいからなあ。。

507 名前：夜勤 ★ 投稿日：02/02/12 00:11 ID:???
ここでちょっと。。。

みなさんは、前回の攻撃を覚えているかしら?

519 名前：夜勤 ★ 投稿日：02/02/12 00:13 ID:???
ちゃうちゃう、 bbspink が陥落したときのこと、、、

531 名前：夜勤 ★ 投稿日：02/02/12 00:15 ID:???
その時　実は、syn_cookies　いれて見たのだ。

で結果はどうだったかというと、

557 名前：夜勤 ★ 投稿日：02/02/12 00:18 ID:???
一日中誰も見えなくなったとさ。。。

we already tried syn_cookies
it didn't work. Nobody could see bbspink.com

I couldn't see it either, that is when syn_cookies were installed.

http://mentai.2ch.net/test/read.cgi/accuse/1013428994/507-

いちいち、何かシステム的な障害があると
すぐ「UNIX板に頼め」って言う発想はやめて欲しいな。

UNIX板の方も幻想が崩れて好都合でしょ。
どうせ、何もできないヲタクの集まりと思われていた方が
要らぬ負担をかけられなくて済むし、
敢えてヒーローになりたいとも思わないでしょう。

>>93
syn_floodだから、セキュリティー・linux・通信技術あたりじゃない？

699 名前：678 投稿日：02/02/12 00:47 ID:hiqhv052
というよりもunix板はすでに動き始めてる……凄いなぁ
http://pc.2ch.net/test/read.cgi/unix/1013391187/

706 名前： ◆nnmm.69A 投稿日：02/02/12 00:49 ID:u82ZimGf
>>699
http://pc.2ch.net/test/read.cgi/unix/1013391187/83-89
むしろ警戒しているようですが(w

709 名前：心得をよく読みましょう 投稿日：02/02/12 00:50 ID:pLzKQEnp
>>699
そういうデマはやめる！！

714 名前：心得をよく読みましょう 投稿日：02/02/12 00:50 ID:mDa+1Eq6
ＵＮＩＸ板の住人からはウザがられてるじゃん（ｗ

716 名前：zero ◆e9NlGozk 投稿日：02/02/12 00:51 ID:yeswUUqx
>>699
たぶんやらない。
こりたから

俺も、linux の syn cookie の実装では、synflood attack に対処できなかっ
たという話は聞いたことがある。

ただ、そこの管理者がそもそも linux 嫌いだったので、この話の信憑性には
かなり難がある。どこか設定を間違えてただけの可能性も高い。

なんで嫌いなのに linux を入れてたかっていうと、上司の命令だったそうな ;-)。
で、synflood 対策でトラブったのを名目にして、昔っから syncache による
対策が施されている NetBSD に速攻で変えて対処してしまったそうな。という
わけで、linux 上での対策を調べるのには、全然気合いを入れていなかった
と思われるので、信憑性に難があるわけね。たとえ syn coookie がうまく
動かなかったのが本当だとしても、実は特定の kernel version が駄目だとか、
そういう話なのかもしれん。

どっちにせよ、2ch の場合、syncache の入った OS に置き換えるってのは、
やっぱ無理なんだよねえ？

Apacheにmod_gzipを入れるのだってあれだけブーブー騒いでたくらいだから、
ましてやOSをや。

799 名前：心得をよく読みましょう 投稿日：02/02/12 01:13 ID:z1tjDZC8
なんだそっか。
newbbsmenu.html
を取りに来た時のログから、攻撃者のIPバレバレじゃん。
ださ。

801 名前：心得をよく読みましょう 投稿日：02/02/12 01:15 ID:sJNE+iK5
>>799
なんで？

808 名前：心得をよく読みましょう 投稿日：02/02/12 01:15 ID:z1tjDZC8
>>801
bbs一覧は、きちんとクライアントに返らないと意味無いから、SRC IP偽装できないじゃん。

815 名前：夜勤 ★ 投稿日：02/02/12 01:17 ID:???
www サーバの　apache の　ログ取るように
頼みますかー。

814 名前： ◆yC752H3c 投稿日：02/02/12 01:17 ID:oUAsl2AK
newbbsmenu.htmlを取りに行くのは明示的にターゲット
再作成したときだけだよ。
攻撃の実行時間とは無関係。



815 名前：夜勤 ★ 投稿日：02/02/12 01:17 ID:???
www サーバの　apache の　ログ取るように
頼みますかー。

>>804
そー なんですけどね

814 ： ◆yC752H3c ：02/02/12 01:17 ID:oUAsl2AK
newbbsmenu.htmlを取りに行くのは明示的にターゲット
再作成したときだけだよ。
攻撃の実行時間とは無関係。

ログをとりはじめた翌日に鯖のディスクがあふれるに10円。

syn cookieが駄目なのはhttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/05.htmlの5/24からリンクされている
http://mail-index.netbsd.org/tech-kern/2001/04/18/0006.html
http://mail-index.netbsd.org/tech-kern/2001/04/18/0011.html
http://mail-index.netbsd.org/tech-kern/2001/04/19/0004.html
ちゃんと設定できれば2ch(http)では有効と思われる。
設定の秘訣みたいのがあるかも知れんから、あとはlinux板だろう。

基本的にSyn FloodをWin系でやるには
http://www.infosurge.org/zine/infosurge-20.txt
のSendSyn辺りを参考すればよいのかな?

>104
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/05.html#20010524_syn_cache
だね

> ログをとりはじめた翌日に鯖のディスクがあふれるに10円。

おれは当日あふれるに 12円。

1日で10ギガ超えるに13円

> ちゃんと設定できれば2ch(http)では有効と思われる。

うん。その筈なんだが、俺が聞いたその話は http だったんだよなあ。
まあ、上で書いたように、そもそもあまり信頼できない話なんだが。

ACKの待ち時間を今より短く設定すればどう？

http://mentai.2ch.net/test/read.cgi/accuse/1013445939/
こちらでいろいろ対策練ってますので、参加したい方はどうぞ。

LOG 有効にすると今度は LOG あふれ攻撃が可能なんだが。

>>112
それやるにはIPさらさないといけないでしょ
syn-floodだけなら自分のip晒さずに可能

この手の攻撃って、MACを変更できる凶悪NICだったら絶対特定できないんじゃ。。。 >発信元

>>114
関係ないです。

>>114
なぜ MAC address が関係すると思えるのか、おまえは ISO/OSI の階層モデル
を知っているのかと小一時間問いつめたい。

ルータ越えたらMACアドレスは伝わらないから、MACが変更可能かどうかはあま
り関係ない。

そもそもMACアドレスが調べられる状況ならば、攻撃者の存在する末端のルー
タまで特定できている、すなわちそこのISPなりNOCなりの協力が得られている
わけで、そういう状況なら、たとえMACアドレスが変更されていても、物理的
な線を辿れば、攻撃者の特定は可能。

ソースアドレスを偽造した攻撃の場合、確かに攻撃者の特定は難しいが、広域
からのDDoSではなく、手動でやっている少数の攻撃者からのDoSならば、経路
になるISPを順番に辿っていけば、攻撃者を特定することはできる筈。2chの繋
がっているISPにやる気と根気と政治力があれば、この手も使える筈だ。
とりあえず聞いてみるだけならタダだから、ISPに聞いてみるのはどうか。
まあ、でもそういうISPは少ないかもしれん。

ISPに頼らず2chだけで対策するなら、やはりsynflood対策がちゃんと効くOSに
するってのが一番なんだが。
linuxの場合、
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
だけじゃ、駄目なのかのう？ ＞ linux に詳しい人

夜勤氏が試してみたってのは、これなんだよな？ ＞ そっち方面の人

今こそ２ちゃんねらーの総力を結集しろ！

犯人がお前たちと同じプロバを使っていれば、snifferで犯人を特定できるかもしれない。
プロバに割り当てられているIPアドレスを逸脱して2ch鯖IPにパケットを送っているヤツを探すんだ。

プロバに割り当てられているIPアドレスを逸脱して2chにパケットを送っているヤツを特定するsnifferツール、
D-Born Killerの開発を急げ！

犯人を捕まえた奴は神！

>>117
syn cookies 導入の結果。
>>92

いめーじしてみる。。。
矢印の間のみルータを超えて渡されるってこと？
(よく考えたら当たり前か。。。)

+-Ethernet-Header-+
+ MAC address,etc +
+-IP-Header------+ <=
+ Source Address,etc+
+----------------+
+ IP Packet　　　　　 +
+----------------+ <=

> 犯人がお前たちと同じプロバを使っていれば、snifferで犯人を特定できる
> かもしれない。

ppp で繋いでいるようなケースだと、そもそも sniffer じゃ見えないだろ。
CATV や ADSL でも、ほとんどの場合は見えないようにしてある筈だ。

大学とかでも、今どきは switch が入っているから、ethernet switch の
モニタポートに繋いで調べるか、対外リンクのある NOCから調べない限り、
分からないだろう。

> プロバに割り当てられているIPアドレスを逸脱して2chにパケットを送って
> いるヤツを特定するsnifferツール、 D-Born Killerの開発を急げ！

別に開発なんてしなくてもUNIX系ならだいたい標準でついてるよ。

tcpdump -e ! src net 自分とこのネットワークアドレス and dst net 64.71

で２欄目にMACアドレスが出てくる。
エンドユーザーならともかく、NOCの人間なら、自分とこのネットワークアド
レスくらい、分かるだろう。

>>120
そう。
第一 IP packet が必ずしも ethernet 伝っていくとは考えられんだろ。
modem で PPP のときなんぞ ethernet 関係ないし、光も違うし。

ﾊﾟｹﾄdumpしてみたけど、SRC IP完全ランダムだね。
実在するIPも混ざってるのでやっぱIP層でフィルタリングは無理くさ。
synくっきーの実験結果ｷﾎﾞﾝ。

>>123
実在してても、存在しない IP を filtering するだけでも多少まともにならないか？
実在する host に SYN ACK 返したときに相手が RST 送ってくれればそれだけで多少まともにならないかな?
>>119

>>119
> syn cookies 導入の結果。
> >>92

いや、これは読んだが、もし92が正しいなら、linuxステて他のOS試すしかな
いかもしれん。でも、linuxって、世界で一番ユーザーの多いUNIX系OSなんだ
ろ？ 本当にこんなにヘタレなの？

難しいところだね。
http://www.maido3.com/server/tora/
このスペックでひぃひぃ言ってるんだから
漏れはこんな巨大サイト運営したこと無いからなんとも言えない。

>>124
まぁ、そうかも。

>>125
漏れもそう思う。誰もアクセスできなくなるってのは設定ミスでしょー。
うまく設定すれば、ちゃんと動くんだと思うんだけど、
1.こう設定すると誰もアクセスできなくなる
2.こう設定するとうまくいく
てなのを実験して教えてあげればいいのかなーと。

>>125
もうだめだったのか、、
導入テストをする方向って話はウソ?

ログをロリって読んでしまった…
逝ってきます

> このスペックでひぃひぃ言ってるんだから

syn cookie を入れても、やはり負荷に耐えられなかったというのなら、
確かに駄目かもしれん。

が、92は「syn cookie を有効にしたら bbspink.com にアクセスできなくなった
(有効にしなければ、ある程度はアクセスできた)」とも読めるんだが、どっち
なんだ？

もし後者なら127の言った通り、設定ミスの可能性が高い。

結局UNIX板が解決するのか？

んにゃ。このまま2chは解散ということで。

また始まったらしい
http://mappy.mobileboat.net/~seek/

ﾓｳｵｻﾏｯﾀ

基本的にSyn FloodをWin系でやるには
http://www.infosurge.org/zine/infosurge-20.txt
のSendSyn辺りを参考すればよいのかな?

ﾓｳ ｵｻﾏ

ﾏﾀｸﾙｯﾃﾉ!!ヽ(`Д´)ﾉ

今まで2chってSYNフラッディング喰らってなかったって事か…
そっちのほうが意外だよ。

んでもsyn cookiesも万能じゃないよね。
フラッディング検出してsyn cookiesが発動すればパケットの喪失時に再送ができなくなっちゃう。
接続エラー→アクセス過多→接続エラーの無限ループになる可能性もあるよね。
サーバは落ちなくても、結果的にサイト運営を妨害するという目論見は成功してしまうのでは?

ところでコノタイとるノ syn flood のあとにある ● はなんだa?
日の丸か?

>>139
クッキーだよ。Synクッキー。

例のD-born配布元ってハクされたのかな？

http://home.graffiti.net/bakeratta845/D-born.htm

ｱﾌｫばっか

で、人柱になろうかと思うんだけど、2.2.20 SlackwareでOKですか？

>>143
それを試す行為を含めて、人柱と言うのでは？

>>144
kernelとディストリビューション合ってたほうがいいとおもったんだけど。
まいっか。

D-Bornはコレを参考してる
http://www.infosurge.org/zine/infosurge-20.txt

>>141
ほんとだ、やられたくさいね

まったく教科書問題の時も然り、krには手を焼くね

krってなに？

Koreaの国コード・二文字形。

>>147
はあ？
なんて韓国？
そんない韓国の仕業にしたい？

で、解決したの？

というか始めに
「韓国の仕業だ」
っていったやつが一番の犯人じゃない？

じゃ、最初に2chに書かれたレスか
最初に立てられたスレ(↓)を探してみよう。
こんな感じの奴がよそにもあるかな？

★このコピペは本当ですか？★
http://pc.2ch.net/test/read.cgi/unix/1013456802/

>>150
・Kr串の使用
・韓国のサイトと連動してた(らしい)
・教科書問題のときなど、「前科」がある
・韓国疑惑説が出ると>>150みたいな韓国擁護派が、すぐに反応する

>>154 でも今回は違うと思う。

>>154
>・教科書問題のときなど、「前科」がある

結局コレだけだろ？ Kr串は2ch攻撃勧誘カキコを韓国サイトに書くのに通しただけだっけ？
韓国がウザイってのはわかるが、
正直、証拠が無くてもとにかく韓国を糾弾ってのは、余りに感情的でやっぱ見ててウザイんよ。

>>156
賛成である。
そういう考えが残る限り反日韓国人も減らないとおもわれ

38 名前：ゲハ参謀 ：02/02/13 01:15
UNIXの皆さんよ。もう今回は何もせんでいいぞ。
結局閉鎖危機乗り越えた後で、果して2chはあの団結力を糧にできたのか。
まったくもって逆である。むしろ厨房が増え、多くの板が荒れている。
今度こそは2chは痛い思いをしなければならない。

>>155-157
ｵｲｵｲ･･･待てってば･･･なんか話が違う方向に行ってないか？

俺は150がなんで？と聞いたから、
今の次点で判ってる理由を列挙しただけだぞ。

韓国人だかなんだかしらんが、それはこの板でやることではないだろ。
この板はクラッカーの所在を技術的に追及することと、SYN Floodからの防衛策
について適当に騙ればよし。語ったところで意味無いと思うけどね。

・クラッカーの所在を技術的に追及すること
上位のプロバイダに、どの経路から attack をかけられているのか
教えてもらう
・SYN Floodからの防衛策
OS 側で対処できるのは syn cookies や syn cache ぐらい
あとは上位の provider で attack を遮断してもらう

んで、夜勤は syn cookies の設定すらできないんでしょ。

>>160
技術的に追求できねーっての
知らない人間が好き放題書きたい放題書くな。
誰からHIVうつされたのか？
ってな問題の百万倍面倒なんだぞ

DDoSは多数のホストを踏み台にするけど、
SYN floodって攻撃元の数がそれほど多くなくても
十分な効果ってあるんでしょうか。
今回の場合は攻撃元の数は実のところどれくらいだったんだろう

>>163
それを把握するには、きちんとプロバイダと協力して、src が改竄された
パケットがどこから飛んできたのかを調べる必要があるわけで。

2.2.29 Slackware 8.0 VitualPCにインストール(1032BogoMIPS)して、
100Mスイッチで繋いだ他のマシンからやってみたけど、
デフォでは開始直後80に確立せず。終了後もしばらく確立できない。
で、攻撃中に
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
すると、すぐ確立できるようになるのね。
数分ほっといたけど、最大load2.0くらい。/var/log/messagesには
Feb 13 01:20:33 鯖名 kernel: possible SYN flooding on port 80. Sending cookies
てでるのね。

なんかうまくいってるっぽいけど、前回誰もアクセスできなくなったのは何故？
kernelの違いなのかね。

これでますます夜勤ヘタレ説が濃厚になるような気が

しないよ

>>155-157,160
みたいなのが来るようになったって事が一番の害だな。
サヨクや朝鮮人は利用できないとなると徹底的に叩きにかかる。

>韓国のサイトと連動してた

これは２ちゃんねらの自作自演だろうが！
>>64読んでみ。

日本語が話せて、証拠がなければ何だってやれる連中なんてかなり限られる。
しかも声がでかいとなればなおさらだね。

>>168-170
誰がやったかなんてどうでもいいだろが...

なんで韓国人のせいにしたがってんだよｗ
仕掛けた人ですか？
攻撃自体は２ちゃんねらにやらせてんでしょ
どぼ〜んでさ
なかなか巧妙というか、悪質だわな

何もできない自分がすげぇ悔しいんですが（別にヒーローになるつもりはないっつーか無理）。
この攻撃について勉強したいので、参考になる書籍があれば教えてください。

★ pc.2ch.net ヽ(*｀Д´)ノｺﾞﾙｧ

pc鯖も攻撃されている。ムカムカムカムカ。

＞ ヽ(*｀Д´)ノｺﾞﾙｧ�d�j! 23鯖 (・∀・)ｲｲ! 9鯖でした。
うひぃ。

とうとう批判要望も移転したな。

>>172
どぼ〜ん使用者の揺動だろ。
「漏れじゃないよ〜」ってね。

鯖移転すれば、全ログ取れるだろ。旧アドレスで。

韓国人かどうかはともかく
早急に対策を講じようよ。
夜勤さんにも頑張ってもらわないと…

ip偽装ってそんなに追跡不可なのですか

>>180
やったやつの実力による

>>180
ルータのログを辿れば行きつける。
だが、実際は辿れないから分からない。
以上。

このスレもうそろそろ批判要望板に移さんか？

>183
オイスターの時ですら延々この板で続けやがったし無理だろ。

>>180
一応言っとくと、
IP偽装してネットサーフィンとかはできないよ。

WEBページ書き換えとかのクラッキングは
ニコニコ握手してから、相手を犯す犯罪。

今回のは、こんにちはと握手を求めておいて、
相手がよろしくと手を差し出してきたら無視。
の繰り返しで相手をパニクらせるという犯罪です。

握手を完全に交わしてないから、相手の素性もわかならいってことですわ。

ところで、ルータでそんなに詳しくログなんてとってる？ >>182
/23割り当てられてるけどなーんも取ってない。

>>180
実は、中継ルータうんぬんより、ISPのIDSに簡単にひっかかって、即バレの危険が・・・

>>181さま
>>182さま
>>185さま
>>186さま
コメントありがとうございます。ど素人でございます。
サーバーを立てて中韓方面よりのあまりの狼籍に、驚きのあまり
この度のわが2chの不幸を我がことのことと憤り書かせて頂きまい。

ルータは、全パケットのログなんて、普通はとりませんな。

RFC2267で推奨されるようなingress filteringを行っているISPやNOCなら、
filteringのログに残る可能性もあるけど。ただ、この場合、そもそもフィルタ
に引っかかるので、2chへのDoS攻撃にはなってない筈。
(やっている本人は、DoSしているつもりなんだが、フィルタで引っかかるため、
2chまでは届かない。で、ISPやNOCには、DoSしていることがバレバレになる。)

全部のISPやNOCが、ここにあるフィルタリングをやってくれてれば世の中平和
なんだが、そうでもないところが悲しいところ。

> サーバーを立てて中韓方面よりのあまりの狼籍に、

まだ馬鹿がいるようだな。UNIXとは全然関係ない話題なので、右翼は右翼用の
板で独り言を言ってて欲しいよ。

namedのログからアドレスを引きにきた大元のIPってわからないの？
デバッグログ吐かせても他のDNSが中継されると無理？

>>188
私は馬鹿ではありませんしUNIXと関係なくはありません。
今は快調です。不正中継もありません。さようなら

↑
ﾃﾞﾑﾊﾟ?

電波法違反でﾀｲｰﾎします。

>189
namedなんて引きに行くか？
引いたら足がつくし遅くなるし。
俺が攻撃側だったら最初に調べといて生IPでつなぎにいくけど。

ルータなんかでログ取らないでしょ。
ルータの故障ログやリジェクトログならともかく、通過したやつのログという
かトレースなんかとってたら処理がのろくなってたまらんよ。

>>193
漏れもそうすると思うが、あれはそうしないのねー。
毎回必ずきっちりと。

>>193
いや、どぼーんが一発目に…

>>196
それをどうやって見分ける?

>>197
デフォルトターゲットの並び順と攻撃開始直前のタイミングからｺﾞﾆｮｺﾞﾆｮ

>>194
今、なんか２ちゃん遅いけど。

設定変えるよりも、IPSと協力する方向ではどうだろう。
IPSも、srcが偽造されたパケット流したとなれば、プロとして恥だろう。

LinuxやBSDなら、あの手のツールは簡単に作れるだろう。
というか、以前社内用に作った。

IPS -> ISP
何やってんだ

>>193
hostsファイル用意して、やったよ。

>>202
攻撃したのか？

相手がSYN floodだってわかってるなら、全パケットダンプ監視も大変だろうから
SYN watch使うと良いよ。とりあえず、監視用に

http://www.niksula.cs.hut.fi/~dforsber/synflood/programs/SYNWatch.tar.gz

>>204
つーか、そんなもんつかわんでも、syslogみたらわかるだろ

>>193
ガキ向けのおきらくツールだったら
たぶん生IPでやんないでしょ

>>203
昨晩のうちに飽きた。
フレッツISDNで全サーバー相手に5分間実行だと、
せいぜい4サーバーぐらい。

>>207の続き。
たぶん、古いダイヤルアップルータがボトルネックかな。

>>207 ﾀｲｰﾎage

>>208の続き
この程度の回線、能力で効果があるのには驚いた。

>>207
通報しますた

>>207
メール縞した

よし！逮捕だ！

確保汁！

>>194
素人質問で申し訳ないのですが
ルータでログを取らないとなると
どこでログを取るのでしょうか？
ログを取るマシンをどこに？

>>207
いまログ取ってるらしいんだけどな。
警告として晒しあげられるかもな。

2chはそんなめんどうなことしないよ。
みんなが忘れた頃(数ヶ月後)に
>>207の家に警察がやってくるだけ。
yahooﾀｲｰﾎの件もそうだったしね。

>>202
それって、DNS鯖設定とWINS鯖設定外してやったのか？

1 名前：夜勤 ★ 投稿日：02/02/14 01:04 ID:???
なんと、続々とお腹いっぱいなサーバが、

school 99%使用中(cheese , cocoa)
natto 96%使用中
mentai 92%使用中
yasai 88%使用中

ハードディスク買わなきゃ、

14 名前：夜勤 ★ 投稿日：02/02/14 01:15 ID:???
う〜ん
school (cheese,cocoa) の書き込みとめなきゃ。。。

19 名前：夜勤 ★ 投稿日：02/02/14 01:31 ID:???
あっ　単位が。。。
x 1024 して下さいー

18GB ですー


20 名前： 投稿日：02/02/14 01:32 ID:4GkoyxJf
　　 Bytes Used 残り
　　school 17081711 16063965 128149 99%使用中。。。
　　natto 17074005 15572697 612112 96%使用中。。。
　　mentai 17074005 14839649 1345160 92%使用中。。。
　　yasai 17074005 14319174 1865635 88%使用中。。。

23 名前：夜勤 ★ 投稿日：02/02/14 01:34 ID:???
もう　二年も前のサーバのスペックですから、
ご老体です。 (CPUもRAMも)

29 名前：夜勤 ★ 投稿日：02/02/14 01:41 ID:???
今　HD注文したので、
ストックがあれば、すぐにもですが、
いつになるか、まだ　わかってないです。

36G (10,000rpm) を四台注文しました。
回転数上がるから、ちょっと早くなるかもです。(期待)

http://qb.2ch.net/test/read.cgi/accuse/1013616274/

HD追加することはできる(ってことはハードには触れるわけだ。つまり)のに、
なぜOSの方はいじれないのか問い詰めたい。うちなら逆。

>>215

ここでログを取る取らないと言ってるのは、BigServerの話じゃなくて、
そこまでパケットを運ぶ、中間のISPや、一般ユーザーサイドのISPの話。
そういうとこでは、普通は正規のパケットはログにとらなくて、異常な
パケットだけIDSとかpacket filterのログに取るの。

素人にマジレス必要無し

>>220
問い詰めるまでもなくこのスレと板を読んでいけば答えが見つかるような気が。

それよりも俺の場合はディスクがお腹いっぱいになるまで
なぜ気付かなかったのかを問い詰めたい。
普通は日々の作業の一環でディスクの残り容量をチェックして
80%を超えたあたりで必要とあればディスク増設を検討する
（必要があればすぐ発注）けど。

あわせて、ディスクがお腹いっぱいになったからといって
何も考えずあっさり増設する必要性が果たしてあるのかどうかも問い詰めたい。
実はエラーログとかを移せば解決するというオチがありそうな気が。

だんだんと1ch.tvの恥行を笑えなくなってきたね(w

02/14 school,cheese,cocoa は書き込みできません。
　　　今、ハードディスク買いに行ってます。

オレは 2ch のこの素人っぽさが好きだけどなあ

d-born.zip ｱﾌﾟしてくれ。

韓国掲示板におけるテロ予告は、ニュー速厨によるでっち上げの模様。

トンドルわけだが（�d�jわけだが）
http://choco.2ch.net/news/kako/1013/10131/1013122788.html

8日テロの書き込みは、上の377（ID:J/BOVv0+）によって初めて2chに公開
されたみたいだが、投稿時間から377の書き込みまで8分のタイムラグしかなく、
しかも以降のJ/BOVv0+のレスに注目すれば、自作自演であることが判る。
つーかアホ確定。

余談までに、704と728は実はわしのレスなのだが、ホントにツールがあった
とは…。（UNIXではなくWindowsのプログラムってのは意外だった）

つーか、727は一体ナニモノ？

すまん、でっち上げだって証拠に関しては、ニュー速板の奴等が暴露してた
文章をのそのまんまパクった。
ニュー速厨もアホばっかしじゃないんだなと思いつつ、スレにリアルタイム
で居ながら単純な落ちに気づかなかったワシもアホだと思った。

>オレは 2ch のこの素人っぽさが好きだけどなあ

漏れも漏れも。ウソをウソと見抜けない人は…

>>227
漏れも落としたが、やらん。

>>188
質問良いですか？基本的にPCから出ていくパケットは
ISPから貰うアドレスになりますよね？

192.168.0.0/16のISPのインターネットに繋がっている
ルーターを仮に192.168.1.1だとすれば、そのISPから
外に向かって出ていくパケットは192.168.0.0/16に
なると思うんです。

だとすれば、192.168.1.1のルーターは外行きのパケットで
ISPのアドレスでない物はブロックするのが当然だと思う
のですがどうなのでしょう？

ひょっとして古い慣習における「性善説」のせいですか？

あとで時間取ってRFC2267をゆっくり読みますので、
現状のISPは対応していないとか、>>232 は何か勘違い
していないか？とかのツッコミなどお前らどうかご教授
ください。

>>232
RFC2267 読んでね。

>>233
RFC読んでねで解決するなら、最初から質問してないと思うんだがな。
煽りにしてもヘタすぎ。不快だ。

d-born.zip ｱﾌﾟしてくれ。

http://saki.2ch.net/test/read.cgi/nntp/1013274590/l50
ここ。。>>235

>>234
じゃぁ答えてあげて。

まとめると、
http://www.jpcert.or.jp/ed/2000/ed000008.txt より
例えば、RFC 2267 [7] では、IP アドレスの詐称を防止するため、ISP にお
けるパケットフィルタリングに関する提案が行なわれています。すなわち、
ISP の側で、ある顧客に割り当てられていないアドレスを詐称するパケットの
受け入れを拒否するという考え方です。

とか書かれていたり。

そのものの日本語訳は
http://isl.educ.fukushima-u.ac.jp/~shinoda/net-docs/rfc/rfc2267-j.txt
とかにあったり。

>>220
> HD追加することはできる(ってことはハードには触れるわけだ。つまり)のに、
ｱﾌｫ?

>>220
疑問を持つところまでは　ok だ、
で、なぜだと思う? そこを考えてみればどうかな。

d-born.zip ｱﾌﾟしてくれ。

>>233 で、現状ではどうなんですか？
日本のISPで対応している所はあったり
するのですか？っつーかあなた >>234
の言うとおりですか？

>>242
QTNet は対応してたな。おそらく TTNet 系は皆やってると思う。

d-born.zip再配布希望します。

>>244
特製ハク版が出るまで待ってください。

つーか、マジカキコすると
TCP/IPに品質だの信頼性だのを求めるのはどうかと思うよ。
そもそも、"何があってもとりあえず繋がる"ってのが売りでしょ?
品質を失っても低コストで運用できるという利点を得たから
ここまで普及したわけで。
２ｃｈの鯖だって、攻撃受けてもなんとか動いてるんだし。
というわけで、
TCP/IPは低コストで使えるが、低品質という諸刃の剣(trade off)。
素人にはお薦めできない（藁
まぁ、お前ら素人はftpだのtelnetだのuucpでマターリ
してなさいってこった（藁
ネットワーク通の間で流行ってるのはATM…(以下略

UDPは置いてけぼりかよ(藁

>246
アフォ?

まぁ246みたいなド厨房は銀行からお金を引き出したり戦車を攻撃したりしてなさいってこった。

>>246

> TCP/IPに品質だの信頼性だのを求めるのはどうかと思うよ。

でも、この問題に関しては問題回避の手段はあるんだし
知ってて使わないならそれもどうかと。

> ftpだのtelnetだの（以下略）

レイヤが違うような気がする。

ATM = Asyncronous Transfer Mode
銀行とは関係ないのれす…(藁

ネタにマジレスかっこ悪い

>251
ボケにつっこんでどうすんだよ…

しかも綴りがちげーよ（わら

>>253
スマソ…(鬱

>>254
鬱市。

>>255 (259?)
未来から来るなYO!

Anti-Tank Missile

>>258
板違いです。

　　∧＿∧　　ｶﾀ　　　　　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣
　 （　´∀｀）＿＿ｶﾀ___ _＜　このスレなかなか（・∀・）ｲｲ!
　 （ つ＿ ||￣￣￣￣￣| ＼＿＿＿＿＿＿＿＿＿＿＿＿＿
　 　 　|＼.||　SOTEC　|
　 　 　'＼,,|==========|

ここは ATM ﾏﾝｾｰ派が占拠しました。全ては B-ISDN の理想のために！

つまりプロバイダ板に持っていけということでしょうか

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 /
　　　　　　　　＼　　　　　　　　　　　　　∧＿∧　　　　/
　　　　　　　　　 ＼　　　　　　　　　　／（ ´Д` ）　　 /　　　　　　　　　 .／
　　　　　　　　　　　＼　　　　　 ⊂／＼＿＿〕　ヽ　 /　　　　　　　　 .／
　　　　　　　　　　　　 ＼　　　 ./丶２　　　　|Σノ　/┌（;ﾟДﾟ ）　　.／
　　　　　　　　　　　　　 /＼ 　/ //7ゝ〇　ノ＼　 /≡／＼丿＞／
　　　　　　　 ∧＿∧　/　/.＼ ///⌒γﾉ/_＿_)./ ≡＼／≡／ _＿
○　 　／⌒（；´Д｀ ）/　/○ .＼/　 ///ノ　　 /　　／　　／ .／ 巛 ＼
　＼　/　/　/ﾍ∇ﾍ_|.　／／　　 ＼///　　　 /　　　　 .／　　|　|[]-[]|　|　　　　　　　　　
　　　 ＼,ヘ .l⌒l⌒l, ヘ／　　　|＼／＼／＼／/　　／　　 　＼| Д |／
　　 l二／＼!, '⌒ヽ|,.'＼二l　　 ＞　　　　　糞　〈 ／　　　／￣`-==-'￣＼
　　　　　　 (人Ξ ﾉ）　　　　　＜　　　　　　ス　＞　　　／　,ｲ／￣￣＼ﾄ　＼
　　　　　　○巛巛○　　　　　　＞　　予　 レ ＜　　　（ｍ ／￣￣￣￣.＼ｍ
￣￣￣￣￣￣￣￣￣￣￣￣＜　　　　　の　＞￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　ﾉﾉﾉﾉ　　　　　　　　　　　＞　 感　　　 ＜　.＼　　　　　　　　ｄ＿ｂ
　　　(　ﾟ∋ﾟ)　　　　　　　　　　＜　　！！　　　＼　　＼　　　　　　（ﾟ皿ﾟ 　）
　　/⌒＼/⌒ヽ______＿　　　　　/／＼／＼／￣　　　　＼　　／ ⌒〇二＼⌒⌒　
　|￣⌒＼　彡ノ＿　　　|　　　　／＿＿　　　 |　　　　　　　＼　─)　⌒ﾍ◎>） ─　彡
　|_________＼＿|__　丿____|　　.／＿|＿＿|＿　 |　　　　∧＿∧＼// ＼＝(＿) ／／　
/_____________＼彡ノ________　／　 　（ ::)ﾟ∀⊇　 .|　　　（ ´ε ｀）　.＼＼　|(○|（γ⌒ゝ´　
　‖　　　 　　＼ヽ　　　.／　　　　/（⌒───|　　（∧∧)⊂）　　 ＼|　──二(◎) |l　
　　　　　　　　　ヽﾐ　 ／　　　　　 |　｀￣|￣￣ .|　 .|ΘΘ| ノ　　　　　＼　　　　ゝ＿ノ　　
　　　　　　　　　　 .／　＼　　　　 |ニ二{］　　 　| （_|；　 /＿）　　　　　　＼
　　　　　　　　　.／　　 ＼!￣￣i ∨＿＿￣ヽ／|　ﾍД/ヽ　　　　　　　　　.＼
　　　　　　　 ／　　　　／二二＼( iii iii>＼　＼ |（　　　　）
　　　　　　　　　　　　　　　　　　　　　　　　　　　|　　

　ヵっぉ

　　　　　　　ぉゃっょ

軍事板でも金融板でもなんでもいいです

そのとーり！
2chに対SYN Flooding対策を施すよう迫る・詰め寄る・脅迫する
のはどうかと思うけど、進言するくらいなら怒られない？

つかやる気があればもうこの板 Check してるさ．
それを公に言う言わない，実行するしないは別として．

あ、見つけやすいようにageといたほうがいんでしょか？

夜勤は、わからないときにはただおろおろするけど、
分かりだしたり、自分のスキルで何とかなりそうだと思うや、
いきなり傲岸になって人の話聞かなくなるからな。

むむー。
ということは、今はなんとかなりそうな気配なんでしょうかー。

>>269
んで、わかった気になって、間違ったこと言い出すのがね〜。
PHP は落ちるだとか、Linux の syn cookies を使うとアクセス不能になるとか。

とりあえず Linux の syn cookies はアクセス不能にならないっすよー。
2.2.29 kernel で、しかも実機じゃない環境でしか試してないすけど。

でも昨日あたりから、あんま重くない。
どっちかっつーと、80番チェックとHDD問題のほうがトレンドなのね。

>>272の前半は夜勤さんに捧ぐです。

>>269 >>271
そうじゃないプログラマって会った事ないんだけど

>271
Linuxのsyn cookiesでアクセス不能は
夜勤さんじゃない人たちが実験した結果として
紹介してた話なんだけど、そのへん把握してる？

>>272
それは約50万PV/dayぐらいの環境で試した結果ですか？

たしかにアクセス殺到がsyn cookiesで規制されちゃうのも
変な感じはするけどね。漏れにはよくわからん。

syn cookies って CPU ぱぅわーを喰うからね。
アクセスがあまりに多いと、CPU が音を上げるかも。

Linux (に限らず他のOSもそうだろうけど) の syncookies は常に
動作しているわけじゃなくて、SYN のバックログが半分以上溜ると
syncookies に切り替わる。syncookies はCPU負荷が高くなるからだ。
常にバックログがあり /proc/sys/net/ipv4/tcp_max_syn_backlog
の半分を越えてる状況だと、syncookies でかえって CPU 負荷が
上るという事はあるかもしれん。ちなみに 2.2 カーネルだと
tcp_max_syn_backlog のデフォルトは固定で 128。小さいな。
2.4 カーネルだとメモリの容量に応じて 128〜1024 になる。
syncookies を有効にする前にこの値を豪快に増やすべきだろう。

また、SYNACK のリトライ回数を減らすのも効果がある。
2.2 カーネルでは通常の TCP のリトライ回数と同じで 7 だが、
これは /proc/sys/net/ipv4/tcp_retries1 で変えられる。
2.4 カーネルでは /proc/sys/net/ipv4/tcp_synack_retries で
SYNACK のリトライ回数だけを設定出来る。デフォルトは 5 だ。

勘違いがあったら指摘してくれると嬉しい。

>>272
＞2.2.29 kernel で、
そんなバージョンのカーネルでてないぞ

>>277をこのスレ一番の有用レスに認定。他のはゴミ。

解決方法は、もうわかったよ。
攻撃してきたホストの特定が無理なのもわかったよ。

で、あとはなに話す？
もうネタないよ。終了でいいな？

>>274
出会いが悪かったと言うほか無いなぁ。。
ちゃんとした人も居るには居るんだが。

>>281
たぶん　>>274　には
「HAHA!　確かに274の言うとおりだ」
とアメリカンなノリで返すのが一番かと。

>>277
> 勘違いがあったら指摘してくれると嬉しい。

syncookies が初期状態では動作してない理由は、104で指摘されている
問題の方が大きいんじゃないかな。

syncookiesが動作しだすと、TCPの状態遷移の仕様を守らなくなるため、104
にあるようにSMTPのようなプロトコルでは、コネクション開設時にハングアッ
プしてしまう(2chはHTTPだから問題ないが)。synfloodattackされてな
いのに、こんな動作じゃ困るだろう。だから、初期状態では動作してないし、
デフォールトのカーネルでは有効になってないことも多いんじゃないか。syn
cacheには、この問題がないから、デフォールトで動作させているんだろう。

あと、SYNACKのリトライ回数を減らしてみるのは賛成だが、synfloodattack
を受けているのが分かっているのなら、tcp_max_syn_backlogは、増やさない
方がかえって良いと思うんだがどうか？
attackを受けてない間は問題なく接続できているということは、通常時は
tcp_max_syn_backlog自体は溢れてないということだ。ということは、下手に
tcp_max_syn_backlogを増やすのは、syncookiesの発動が遅れるだけの効果
しかないんじゃないのか？
通常時ならともかく、synfloodattackを受けている間は、syncookiesに必
要なCPU負荷よりも、コネクション開設処理にかかるCPU負荷の方が確実に
高いと思う。とすると、syncookiesの発動を遅らせるのは、かえってCPU負
荷を上げることにしかならん。synflood下では、コネクション開設処理にか
かるカーネルのメモリ負荷も馬鹿にならんし。

あ、これは「パケット損失が起きると、コネクション開設時にハングアップし
てしまうことがある」に訂正。

>>278
あ、ｽﾝﾏｿﾝ。
2.2.19でした。
ﾊｽﾞｶｽｲ。

>>283
レスありがとう。指摘されている点は全くその通りだ。
SYN バックログを増やす事は syncookies の発動を遅らせるのが目的。
これと synack の回数を減らすのとを組み合わせれば、syncookie の
発動を回避できるではと期待したんだが、もちろんメモリが充分にあ
るのが前提。DDoS のようにドバァと SYN が来てる状況では効果ない
が、古典的な SYN flood 攻撃のようにポロンポロンと SYN がやって
くる状況なら耐えて動くようにチューニングできる。
2.2 のデフォルトの 128 は 2ch には小さすぎだと思わないか? 攻撃
されてなくてもアクセス殺到だけで syncookies が発動してしまう。

D-Bornのサイトが開設されたのが「Sat, 09 Feb 2002 18:31:54 +0800」
でも、2chが攻撃を受け始めたのは8日の早朝かそれ以前。
うーん

ところで、D-Bornって実際効果あるの？

つーか
http://choco.2ch.net/news/kako/1013/10131/1013122788.html
の727がD-Bornの作者だったら・・・・（まさか）
このスレからは、数々の伝説が生まれているみたいだ。

ちなみに漏れは↑443である。
韓国の掲示板書き込みの張本人ID:J/BOVv0+が漏れのレスの前だとは・・・。
やはり伝説が生まれている。

>>287
そりゃぁもう、作者は結構優秀なﾊｶｰだと思われ。
実際かなり痛い。
しかも厨でも簡単にできちゃうところが更にﾔﾊﾞｲ。

いや、ﾏｼﾞでｽｹﾞｪよ＞あの作者

ここの>>1からして、ニュー速厨、もしくはネタに乗せられたアホ
かと思われるが。
有意義な議論が展開されているところに水を注すようだが。

>>290
半角カタカナは使う奴は馬鹿だって、void先生が言ってましたよ:)

>>291
ﾋｰまじっすか〜。怖いです。
（よかったら>>290のメアドにメール下さい>>291 & くさかべ先生）

Unicodeだから半角カナだろうが大した問題じゃないがな。。。

　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　

TCP/IPは低コストで使えるが、低品質という諸刃の剣(trade off)。
素人にはお薦めできない（藁
まぁ、お前ら素人はftpだのtelnetだのuucpでマターリ
してなさいってこった（藁
apel をみると find-face は短かかったので、navi2ch-mona.el に
含めてパッチを適用しました。
apel は GPL だしその旨書いたので問題ないですよね...
[global]
workgroup = test
client code page = 932
coding system = cap
server string = Beta2(Samba Server)
netbios name = Beta2

log file = /var/log/samba/log.%m
max log size = 50
でもって、multi thread 関係が貧弱だよ、PC UNIX は。まだ Win2K のが
まし。この点は Solaris が一番すすんでると思う。趣味で program 書い
てるレベルだけど。もちろん高い処理能力や 3D 関係のソフトかきたいなら
Win2K や PC UNIX の方が良いだろうと思いま。

# とりあえず、うちの FSF Emacs 21.2.50 では、apel がはいっていても起動
# 時に (void-variable find-face) でエラーになったので、再定義されてい
# るところを消してしまいましたが(^^;

んで、SYN Cookies は有効にしてるんですか? あと、常識的なfilter
(192.168.0.0/16 ... の叩き落とし)は? D-Bornのパケット覗きもし
ないで言ってるけど。
そういや、FreeBSD 4.5Rから使えるようになった
syncache & syncookiesの複合技は、相当強力なSYN Flooding攻撃にも
source addressを偽造といっても、
相手が生きている場合は攻撃効果さがる。
てことはsource addressはそれなりにreachableなところだとマズイ。
汎用品として使えるねこれ < D-born
rawソケットつかってるって書いてあるから、
てことはsource addressが乱数であっても、
考えられることは、まず、日韓間系が悪くなることをねらっている何者かが、
うまく２ちゃんねるを煽って、全板に嫌韓感情を広めようと裏で動いてるはず
煽られて、韓国からの攻撃とおもって煽られている奴がたくさんいる
とうせ、韓国の掲示板でわざと攻撃予告をしたか、　　　　　　　　
誰かが攻撃予告したのを利用しただけだろう　　　　　　　　　
この場合、裏で動いてるのはおそらく北朝鮮だろう　　　　　　　
耐えるって話を本家のメーリングリストで聞いた覚えがあるんだが、
具体的な数値を忘れてしまった。スマソ。　　　　　　　

（´-`）.｡oO(素人の煽りかな？)

（´-`）.｡oO(降臨期待age)

（´-`）.｡oO(神様、どうか攻性防壁作ってください･･･)

ところでさ、結局なんにも対策しないのかな？
今日も頻繁に接続不能になってるけど

linuxのsyncookieに関しては、このサイトが詳しい（ｗ

http://lxr.linux.no/source/net/ipv4/tcp_ipv4.c?v=2.2.19#L1230
http://lxr.linux.no/source/net/ipv4/tcp_ipv4.c?v=2.4.17#L1248

UNIX板住人が過度に神格化されてることが、異常なのだが・・・。

今回の件で、2chに対するSYN floodアタックの有効性が白日の下に晒された
わけで、D-Bornのアタックを克服したところで、今度は大学や企業などの鯖
を踏み台にした大規模なDDoSアタックが行われないとも限らない。

8/25のときは、規模縮小をせずに閉鎖危機を回避したが、今度こそは構造改革
が必要だと思う。例えば掲示板の何割かをカットし、余った鯖をFWに使うとか。

>>301
FW入れても、DDoSレベルになったら防げないって

あと、FWは、多くのセッションに対応してるのは高いから、
OSのsyncookieが一番安価でいいとおもうけど？
デフォルト値では、２ちゃんなみのアクセスだときついけど、
ちゃんとパラメータ調整すればいいし

http以外のプロトコルでは、syncookieが作動してると
うまくセッションが張れないプロトコルがあるけど、
２ちゃんの場合は、httpだけなので、ほとんど問題なし

>301
サーバや板を減らすといったマイナス方向に行くか、
もう一台PCぶっこんでFW作るかといった方向かは、
夜勤の懐具合に属する問題であって、この問題の構造改革とは
なんの関わりもないものであります。

>302
Syn F/W(SYN Proxy)っていう方向性は、故意に忘れ去られておるのでしょうか？

>>304
なに？その方向性って

で、ＵＮＩＸ板の方々でなんとかしていただけるんでしょうか？
もう泣きそうでつ

>>301
とりあえず、踏み台にされそうなところにお勤めの方は、
所属している組織のネットワーク管理者に、
invalidなパケットの送出を防ぐように呼びかけていくとか、
そういう地道な活動でもやればいいんじゃない？
説得材料はこのスレにあるみたいだし。

>>301
踏み台にされた企業をすべて晒しあげれば漏れみたいな厨房が逆DoSで
沈めてあげるYO!

規模を縮小するような逃げに出れば攻撃者が喜ぶだけだと思うYO。

>>304
そうそれ。実際どれだけ有効かは自分は全く知らないけど。
ただ、全鯖を掲示板用に回して防衛なしという状況はちとまずいと思ったから。

とりあえず、この板で何ができるかって言えば、今回はプログラムを
書くとかじゃなくて、夜勤さんに進言すべきことを、皆で相談すること
だけだし。

DDoSは、確かに言われてみれば防ぎようがない。それはそうと、ニュー速
の厨房が韓国の掲示板サイトで暴れているが、報復が本気で心配だ。

>>309
Syn F/W(SYN Proxy)が何を意味しているか分からないが、
普通のFirewall(サーバ型じゃなく、ネット機器型)は、
ホストに変わってsynパケットに代理応答する機能があるけど、
それのこと？

>310
http://www.google.co.jp/search?q=SYN+Proxy&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=

>310
http://www.google.co.jp/search?hl=ja&q=SYN+firewall

なんか、時間が時間なのか技術的なことよ〜しらん人も増えてきたみたいだから、
とりあえず、これでも読んでくれ。
ttp://members.tripod.co.jp/eazyfox/Security/Security14.html

>313
関係ないけど、そのページの冒頭、
＞サービスを再開するまでに数時間を要することとなた。
の誤字で、以降の記述の信頼性にいきなり翳りが・・・(笑)

　　　　　　♪
　　♪
♪ 　∩ ∧_∧　　　
　　　ヽ ( ´Ａ`)　　なんじゃこりゃあああ！
　　　　ヽ ⊂ ヽ　　　
　　　　 Ｏ-､　）〜　　
　　　　　　　U
http://www.puchiwara.com/hacking/
　　　　　　♪
　　♪
♪ 　∩ ∧_∧　　　
　　　ヽ ( ﾟーﾟ)　　えろいニャー！
　　　　ヽ ⊂ ヽ　　　
　　　　 Ｏ-､　）〜　　
　　　　　　　U

>>315
氏ね

puchiwara.comってなんでアクセス禁止にならないのかなぁ？

FF・DQ板に、シンが攻めてきたー、とか基地外スレッドが立つ事を
期待してしまう漏れ

>>318
"シン"が2chを襲撃＠FFDQ板
http://game.2ch.net/test/read.cgi/ff/1013820599/

やはりFFDQ板の奴らはアフォですね。
一応巷では２ちゃんねるのゲーム系の板最低レベルの板と言われているだけあるわ・・・

ｹﾞｰﾊｰわ?

>>321
最低レベルどころか最低です。

>>320
これとか好きなんだけどな。
http://game.2ch.net/test/read.cgi/ff/1006522756/

その318-320の件だけど、結局そのスレで自作自演がばれて吊しage食らってます。
まあここの1と22を必見と言うことで。

"シン"が2chを襲撃＠FFDQ板
http://game.2ch.net/test/read.cgi/ff/1013820599/

320だけどさぁ、俺が自作自演した？
バカなこと言うなよ。
318 not equal 320だ。本当に。
ちなみに、FFDQ板のスレ立てたのも俺じゃない。

いちいちこんな事で騒ぐからFFDQ板は第二厨房板だなんて言われちゃうんだよ。
ほんとにさ。
一々文句を言いにくるなよ。>>324

>>325
いちいちそんなことで騒ぐなよ。

>>325
厨房を放置できないお前も厨房

くだらない論争なら他でやれよ。

なんかSYN Flooding対策はあと鯖を設定するだけって感じだが、
例のランダム文字列荒らしはどうよ？
ってスレ違い？

>>329
ランダム文字列は、bbs.cgi　とかの仕事

役立たずの会話するくらいなら、他のスレでも行って
このスレは沈めろ。

>>331
すまん・・・

>>330
そういえばプログラム技術板のread.cgi開発スレで、bbs.cgiとかの一部
ソース公開の話題も出てたけど、どうなったんだろうか・・・。

どちらにしろ、SYNクッキーモード発動時の高負荷にも対応できるように、
システム全体で、負荷を軽くしていく努力をする必要があるのは確か。
それから、利用者にはある程度不便にしていって、高負荷につながる
アクセスを減らすようにすることかな。ずいぶん前のスレで出てたけど。

>333
なんでクオリティオブサービス下げる必要があるのかがわからない。
ま、無能だから、だけどね。

攻撃時にハングル板に異常にアクセスが殺到してるのが気になる。

とりあえず、攻撃を受けてる時はテレホタイムのモードに切り替えね。
初歩的なことだけど。

D-Born ver2.00
http://qb.2ch.net/test/read.cgi/accuse/1013768070/l50

これだべか？

げ、マジじゃん。
作者は本気なんだね。

こりゃ、ﾀｲｰﾎ覚悟なのか？

何でこんなに本気になれるのかとどぼーん作者に問いたい気分だ。

普通のお仕事してる人じゃないのは確実
こんなことやばすぎてできん・・・
学生かその筋の人だろうなぁｗ

作者は逮捕されないでしょ。
されるとしたら使ったやつだけだよ。

ｿｰｽ公開ｷﾎﾞｰﾝ!

>>334
祭りや実況は、ある程度抑制する必要あり。>>333の主張も一理ある。
特に、gzipの導入で転送が軽くなった分、ヘビーなアクセス者が増加
してる事実もある。サーバの負荷は増える一方なのよ。

クオリティオブサービスといっても、どこに求めるかってのも微妙よ。
例えば今回みたいに簡単な攻撃でサービスが止まるのは問題外なわけで。
というか、個人運営の非営利サイトにその言葉持ち出すのもどうかと。

具体的な提案も無しにむやみに反論するのは、煽りと変わらんよ。

んだなあ〜。
基本的にここはひろゆきのボランティア(!)でやってもらってるという認識を、
みんな忘れてないかい?

> ｿｰｽ公開ｷﾎﾞｰﾝ!
作者以外に誰がソース持ってるのよ？

SYN floodアタックの原理はごく簡単。多分D-Bornもあまりトリッキーな
ことはやってないと思う。
ソース読んで判るほどの力があれば、自分で同様のものを書けると思うよ。

>342
ボランタリーは夜勤なのであって、ひろゆきは収入得ています。
お間違えなく。

でもさ、こうやって一つの問題に対してこうやってみんなが知恵を出し合っ
てるのみると、ここも捨てたもんじゃないな、って思うよ。
そこらの営利サイトにはない、一体感みたいなのがあって、そういうところ
が良い意味での「２ちゃんねるらしさ」だと思う。

>340
D-Bornじゃないけど、Linux版だったら持ってるよ。

>>345
まあアットホームっちゅうか手作り感っちゅうか、ようは厨房だな。

>>346
SYN floodアタックツールは、その手の趣味プログラマなら必ずスクラッチ
したことのある、ある意味Hello, World的なものだと認識してるのだが、
違うかの？

>>347
そう、でもその素人っぽさがとてつもなく大好きだ。
管理人がとてつもなく厨房だからこそ、真のフリースピーチの場として
２ｃｈが存在し、多くの人を魅了しているんだと思う。

>348
代わりがあればよそへ行く、ってレベルの段階には、なってきているけどね。

そういえば、ひろゆきは「ネットワークセキュリティアドバイザー」
という肩書きで、報酬を得ているワケなんだが、ネットワークセキュリティアドバイザー
っていうのは、SYN Floodあたりでおたおたしていても務まるものなのかね？

いまD-bone使ってたのは、このスレ覗いた奴かのう？

う〜ん、いい加減にしてほしいなぁ。

ただの嫌がらせとは解っていたが、
やられるとこれほどムカつくものとは思わんかったわ。

>>350
そういえばひろゆき、今何やってるのだろうか？
うまい棒食いながらオリンピック観戦してたら本気で怒るよ。

このスレも避難所が必要かな。肝心なときに議論がストップするのは致命的。

ログを取りはじめる理由が必要だったから、
実は願ったりかなったり、なんてことはないよな（笑）

竜氏の云うやうに、「８月危機(･∀･)ｼﾞｻｸｼﾞｴﾝ」説ですか。
DDoSｼﾞｻｸｼﾞｴﾝはさすがに危険度が高いやうな‥‥

ADSLやケーブルなどの高速回線の普及が、今回みたいな個人レベルでの
DoSアタックを可能にしたと思う。

犯人もさすがにWebブラウズもやりたかろうから、退席中に走らせたり
してるのだろう。攻撃が断続的でないのもうなずける。

また来ているみたい。

>>354 寝てるんじゃない？

ひろゆきはいつも通り動かず
今回も攻撃はじまった時は誰かと飲みに行っていたらしいし

それ、管理人失格です。
で、何もかも終わったたころにメルマガに書くんだろうなー。

なかなか終わりそうにないけど。

> SYN floodアタックツールは、その手の趣味プログラマなら必ずスクラッチ
> したことのある、ある意味Hello, World的なものだと認識してるのだが、
> 違うかの？

まあ、良い悪いはともかく、TCP/IPの基本を身につけるには
最良の教材ですな。
tcpdumpでパケットの中身を見ることができたら、次は
raw socketを使って3-way handshakeを手動で行ってみる
のがセオリーですからな。

>>357
管理者失格な奴のサーバをハクして DDoS のエージェントにするのと、
人間失格な奴を煽って DoS を手伝わせるのは、なんか似てる気がする。
どちらもダメ人間が多量に存在する事を前提にしてる。

>>361
で、SYNパケットを投げる部分だけを無限ループで回したら
ネットワーク管理者から大目玉をもらうと。(藁

自分のメールボックスを確認してみたら、こんなものが。
＞■２ちゃんねらーが選ぶ邦画TOP100の巻■

案の定、今回のアタックの件は触れてない。（まさか知らない？）
こんな管理人、他人だから笑っていられるが、回りにいたら嫌過ぎる。

>>364
金払って雇ってる管理人じゃないのだから、好きに
振舞うのは当然でしょ。

>357
SYN投げるだけだもんよ。回線の太さ・早さなんか関係ないだろうよ。
投げたSYN受け取らないからこそ、SYN Floodが成立するんだし。

夜勤 ★さんはちゃんと設定されるのでしょうか？

>366
投げたSYNの「返事(Ack)」ね。

>>366
いや、たしかACKの待ち時間が設定されてるはず（標準で3分程度？）。
今回みたいに何台ものサーバのバッファを溢れさせるには、同時に
SYNを大量に送りつける必要がある。

ちなみにバッファってのはハーフオープン用の。

いわば穴の空いたバケツに一気に水を注いで淵から溢れさせようって
理屈だから、個人レベルでやるにはある程度高速な回線が必要。
誤解してたらスマソ。

けどADSL程度の帯域あれば
２ちゃんねるの全サーバ余裕で落とせるんだよね？
ISDNとかモデムでも十分被害出るかと。

＞ISDNとかモデムでも十分被害出るかと。
攻撃対象とする鯖を絞り込めば、それも有りうる。
実験するヤシがでたらまずいので、sage

よし、実験しよう！

>>373
死ね

56Kbpsのモデムでもそれなりに被害でんか？
SYNってそんなにでっかくないよ。
秒間3000コは投げつけられるハズ

>373
ｵﾒｰのIPさらせ
漏れが実験してやる

＞56Kbpsのモデム
送信側のスピードっていくらくらいだっけ？

>>376
漏れも協力汁。

>>376
実験するのはいいんだけどさ、
373はhttpd起動してんのかしら？？

　あの〜初心者なので申し訳ないんですが、

　たしか、２ちゃんねるの転送量の問題でたしかフィルターで対処する実験が続いてる、
って聞いた事があります。

　今回のＤｄｏｓ攻撃でも、フィルターで対処するようなことが書かれてますが、
今回の執拗な攻撃を理由として用いられる何らかのフィルターと、
全体の転送量を減らす目的としてのフィルターでは何がちがうのでしょう？
それとも、もしかして、スレ違いでしょうか？

>>379
80以外でもなんでもOK。
なんなら22あたりで。

>379
port 80 でなきゃだめ？

>>380
スレ違いっつーか、カン違いだ。

>>379
良い事に気がついた。

個人でhttpdなんざ、せいぜいCGIのテストやりたい奴がlocalhostで
使ってる程度だと思われ。自前でWeb鯖立ててるツワモノもいるのかな？

>384
自宅では port 22 以外は晒してないなぁ

自前アプリでSYN-FLOODかけるんだったらnmapでステルススキャンして、
レッツゴーでもいいけれど、
D-Bornつかって攻撃かける場合は80があいてないとダメね。

>372
どこだったか忘れたけど、ISDNでD-bornを２ちゃんにかけて、
充分すぎるほどの効果を確認できた、って人の書き込みがあったな。

また�d�jんね・・・。

ためしにd-bornでおうちのFreeBSD4.5+Apache1.3.23にアタックかけてみたけど、
ビクともしないね。

4.5-Releaseをデフォルトで入れただけで、Apacheもデフォルトでmakeしたのに・・・。

>>388
そりゃ、FreeBSD 4.5 は default で syn cache だからな。

>>389
ログも何にも出ないね。
パケットは飛んでるみたいだけど

白痴西村読みなさい　D-Bornで攻撃してるのは私です
http://qb.2ch.net/test/read.cgi/accuse/1013447591/

ふーん、FreeBSDてえらいんだねー

>>389
syncache+syncookieの合わせ味噌だ。

D-Bornが送るパケットのサイズってどれくらい？
IPヘッダが24オクテット、TCPヘッダが24オクテット。アナログモデムの
場合、単純計算で秒間100〜200個。（この辺の計算あんまし自信なし）

これってポート詰まらせるのに十分なの？

ロカール環境で freebsd4.5 と openbsd3.0 に d-born やってみたけど、
なんもならんかった、、、
そーいうもんなんでしょうか

>>375
つーか、どういう計算したらそんなデカイ数字になる？

>>394
SYNパケットなら、44バイト
しかし、これにL2以下のデータも載るから、実際はもっとおおきくなるけど
アナログ(56k)なら、一秒間に60パケットほどじゃない？

linux(2.2.20)のデフォルトのバックログなら、すぐに埋まりますね
2chがどれくらいバックログを増やしてるのか分からないけど、
1024くらいでも、タイムアウトを短くしない限り埋まっちゃいますね

そういった細かいチューニングって、big-server や Hurricane Electric が
ちゃんとやってるか不明

あ、実際は、IPヘッダ圧縮とか、モデムによる圧縮が入るから、
もっと違う値になるかもしれません

＞モデムによる圧縮
その場合、一番速度的に不利なのはISDNの64Kか。

400

いや、よく考えればIPがでたらめな値だから、圧縮が効いてもあんまり
圧縮率は高くなさそうだな。

kabaなどの旧いサーバが生きてるのは、なかなか手応えないので攻撃対象
から外してるのかも。
どちらにしろ、落ちるサーバはおそらくチューニングしてないな。

もしかして
強力な感染力のｳｲﾙｽに仕込むともうだめぽ？

>>402
なるほど、そういう方法も考えられるか。
Winsockに感染させて、2chを攻撃。まさに鬼だ。

散々ためしてみた結果、openbsd 3.0 には明かな延滞がありました。
freebsd 4.5 はびくともしませんでした。

>>404
ログとか取ってらっしゃる？
あと、誰か2chと同じ環境用意できる人いたら、報告よろしく。

まったくもって人任せだが。

>>402
それがDDoS攻撃って奴ヨ

>>405
だから、2ch の設定ではアウトなんだって。

>407
>405は、free BSDで、でしょ？

>>408
あぁ、すまん。2chと同じ「ネットワーク」環境を用意できる人に
FreeBSDで試してちょーということか。ごめん>>405

つか、ログとったら逆にサーバが死ぬような気がするな

>>406
そういえば韓国にはDDoSのエージェントに使えそうなサーバが大量に
あるそうな。「韓国から攻撃？」って馬鹿騒ぎしてた連中もいたが、
あながち間違いでなくなるかも。

2ch同次多発�d�j対策本部スレ＠ハン板
http://kaba.2ch.net/test/read.cgi/korea/1013427439/577
577 ：　 ：02/02/16 16:54 ID:EJAUijyO
>>575
！祝Code Red Worm 発信数ダントツ１位！
http://kaba.2ch.net/korea/kako/998/998142242.html
Code Red普及率
ttp://www.security.nl/misc/codered-stats/

>>402
2ch攻撃ツールと明示的に書いてあるところが、まだ親切だよな。
高速分割ダウンローダとか、タグブラウザみたいな、一見害が
なさそうなのでやられると、まずどのサイトで配られたどのアプリが
原因かを特定するところから始めないといけないからな。

って、激しくスレ違いだ・・・ｽﾏｿ

なんか、攻撃したい奴にもアイデアを提供するスレになってきたな。

d-bornを会社のサーバに向けて実験したら、
「*.2ch.net」てな名前のドメイン名持ってないと相手を攻撃できない模様。
なかなか落ちないね最近のサーバは

> d-bornを会社のサーバに向けて実験したら、
あなた凄ぇや・・・。漏れにはそんな肝無い。

> 「*.2ch.net」てな名前のドメイン名持ってないと相手を攻撃できない模様。
bbspink.comも攻撃対象になってるみたいだけど？

>>415
あれま bbspink.comも大丈夫だったのね
名前がd-bornでオッケーならば、
名前→IP変換できるようにすりゃいけるので明日やってみます

実行ファイルの73fc,fd,fe("2ch")を0(NUL)に書き換えればチェックルーチンは
抜けられます。upx解凍前で可能。解凍後も、それなりなところをNULにすれば、
大丈夫。

白痴西村読みなさい　D-Bornで攻撃してるのは私です
http://qb.2ch.net/test/read.cgi/accuse/1013447591/l50
＜アース神族軍メンバー一覧表＞
氏名　　　　　役職　 　　　　　種族　　　　領地　　　　　神格　ＨＰ　メール　現住所　
Messiel　　リーダー　　　アース神族　　　八畳程度　　　二 　○　　○　　東京都府中市
ネオ麦茶　　エインフェリア　　人間　　　実家に自室あり／　○　　／　　京都府医療少年院
むねお　　　エインフェリア　　人間　　　　不明　　　　　　／　 ○　　／　　　不明
神風　　　　エインフェリア　　人間　　　　不明　　　　　　／　　／　　○　　兵庫県神戸市
たかし　　　エインフェリア　　人間　　　　不明　　　　　　／　　／　　／　　大阪狭山市
テキーラ　　エインフェリア　　人間　　　　不明　　　　　　／　　／　　／　　　不明
佐々木　　　ヤクザ　　　　　　人間　　　　不明　　　　　　／　　／　　○　　　北朝鮮
木村　　　　ヤクザ　　　　　　人間　　　　不明　　　　　　／　　○　　／　　東京都荒川区東日暮里
(´ー｀)y−~~~トイレ掃除　　　人間　　　　不明　　　　　　／　　／　　／　　　不明
あひゃ　　　調理師　　　　　　人間　　　　不明　　　　　　／　　○　　○　　愛知県半田市

> D-Bornで攻撃してるのは私です

ということにしたい。

v2.0はupxじゃないので、ご注意。

http://pc.2ch.net/test/read.cgi/network/1013926738/
ｷﾀ━━━━━━━（ﾟ∀ﾟ）━━━━━━━━━!!!!!

>413
バグ情報やセキュリティ情報をチェックするのが、攻撃の第一歩だからね。

>417
それのやり方わからんかったからメモリエディタつかって
当該チェックの文字列消して、BSDのサーバにやってみた。

一秒間に450くらいのTCP要求を吐き出してる＞D-bone

ゆか、hostsにwww.2ch.net追加してIPアドレスを被験対象のにすりゃえーべ

ADSLのNATつきルータの内側で、D-Bornを動かしたら、srcアドレスが置き換わってたりしないかしら・・。

なんか試しにD-Born使ってみて、2ch側にログ取られてるイタイ人がいそうで。

>425
基本的にログは取れないよ。SYN Floodだもん。

IPマスカレードを行ったときにルータのWAN側のIPに置き換わってるってことでしょ。

syslog吐かせてみた。
受け側アドレス伏せるために1.2.3.4に変えてる。

Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 130.0.90.1:1972 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 187.68.205.27:1409 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 222.56.44.35:1568 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 36.21.80.5:1695 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 209.122.239.105:1183 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 44.118.117.107:1545 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 195.76.177.84:1978 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 139.15.254.51:1974 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 24.44.57.72:1438 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 238.88.39.54:1359 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 100.0.203.79:1770 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 59.48.122.49:1023 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 15.103.213.21:1657 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 253.52.198.30:1778 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 117.52.53.0:1283 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 116.45.193.124:1255 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 224.31.24.27:1818 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 12.59.51.94:1401 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 243.61.160.58:1542 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 27.83.197.89:1011 1.2.3.4:80 in via tun0

>427

>425>427
なるほど。そりゃイタイ。

>>426
syn フラグのたったパケットだけ記録する手段なら
いくつか思いつくんですけど気のせい？
tcpdumpでもできるんじゃないかい？

2chサーバはサーバにその手のソフト載せられないのかな。
だったら難しいかもしれませんけど。

>>425
一応、法的に裁く事が出来るみたいよ？

刑法２３４条　威力業務妨害罪
威力を用い人の業務を妨害したる者、３年以下の懲役又は５０万円以下の罰金に処す。

CheckPoint Firewall-1で防げないのか？

>>431
過重負荷でサーバが死ぬかもしれません。

CPU負荷にならなかったら死ぬ確率は低くなるよ

サーバの負荷が恐かったら
2またケーブル作って横っちょで覗くつぅのがいいかも

L3Sw ------------+----- Server
or |
L2Sw |
+----- Sniffer
でも 2chサーバは海外にあるんだっけ。

パソコン検定６級もってますが、なにか？

これ韓国のプログラムだけど、どう思う？

http://standard.amikai.com/amiweb/browser.jsp?url=http%3A//www.dczine.com/pds/refresh1.html&display=2&langpair=9%2C2&lang=EN&toolbar=yes&go=Translate

しまった、スペースで絵が崩れた

L3Sw -----------+----- Server
or　　　　　　　|
L2Sw　　　　　　|
　　　　　　　　+----- Sniffer

<<437
なんの関係があるんだ？

>>431
source address 偽装されてるんでないの?

>>438
単にリロードをかけるプログラムってところか
Ｆ５キーの攻撃と同じことが自動でできますよってところだね

L3Sw -----------+----- Server
or　　　　　　　　　　 .|
L2Sw　　　　 　 　 　.|
　　　　　　 　 　 　　 +----- Sniffer

>>435
確かに、攻撃時はアクセスが無くなって結果的に負荷は下がるから、
ログとってもあんま問題なさそう。
でも、ログ取る暇あったらさっさとチューニングしろと思ったり・・・

>>437
基本情報持ちＮＷ不合格の学生ですが何か？

>>441
>>425を読んだ上で言ってるのか? わからなければ口をだすな。

ｽﾆﾊｰしかけるのはよいとして、問題は保存期間だナ

保存期間は使えるディスク容量との相談でしょう
あるいはポリシーから？日以上保存しちゃ嫌って意味？

>>447
そそ、容量上の問題ヨ
わかってくれてありがとう
解析者の能力とトレードオフなところなんだけどね

つーか、Ｐ検６級って・・・
http://www.pken.com/what/6kyu/6kyu_details.html

>>448
クライアントアドレスとSYNパケット送信回数をカウントする
スクリプト（かなんか）書いて上位にくるアドレスをしらべると
いいんじゃないかな。
あとは I mode を含む既知のプロキシサーバをカウントから除外する
と攻撃に参加しているコンピュータのアドレスが残ると思う。
できるだけソフトウェア処理してやらないと解析者が人手で
調べきれないよね（009の様に加速装置がついてるなら別 )

>>404
OpenBSDには、syncookies も syncache も、どちらも入ってないんじゃないの？

>>437
このスレッドでP検6級とか言ってるやつ逝ってヨシ

>>452
ネタレスに反応するのもどうかと・・・。
つーか、やっぱネスペ以上は前提ですか？

がむばってログとってもかかるのは原理も知らずにボタン押してる厨だけだろ。
この板でlinuxで実験してみるとか言ってたのいなかったっけ?

パソコン準４級を受けて、早速落ちましたがなにか？

ログ解析したら実況板みてる奴らが大量に釣れるだけかなぁ

P検ってなんですか？

> がむばってログとってもかかるのは原理も知らずにボタン押してる厨だけだろ。

同感。根本的対策には全然ならん。

> この板でlinuxで実験してみるとか言ってたのいなかったっけ?

これか？
http://pc.2ch.net/test/read.cgi/unix/1013391187/165
というわけで、
http://mentai.2ch.net/test/read.cgi/accuse/1013428994/557
は、やはり夜勤の設定間違いの線が濃厚。

>>453
DQNネスペってマジでいるしねぇ・・・
何をかくそう漏れがそうだ（藁

やっぱそうだよな。ちゃんと設定できれば原理的に防げるはずだから。
つーことで、夜勤かひろゆきが、初心者質問スレッドで正しい設定の
方法聞けば解決ということでよろしいか?

ひろゆき、全然危機感ないような気がするのだが。
まさか、攻撃の事知らないんじゃあ？

ひろゆきってどこの板にいるの？
管理人でしょ？板にでてくる事ってあるの？

>>462
頼む、初心者板に帰ってくれないか。

なんで？どうしてそんな言い方するのよ！
もう嫌！出てって！帰ってよ！
そうやってこの板荒らす暇があるなら
家帰って母ちゃんのおぱーいでも
吸ってろ！この馬鹿禿げ・乳首
あほ・包茎・チンカス・帰れ！
クソ・オタンコナス・うんこ厨房が！！

>>464
よく自分のことを把握してるな。

>>458
一応、>>285で訂正したけど、カーネルは2.2.19でした。
勇者の実機テストｷﾎﾞﾝ。

>>425の指摘は一理ある(spoofing失敗)。攻撃自体は成功する
2ch ---SYN+ACK---> NAT -> LANに存在しないIP あぼーん
同一アドレスからの連続SYNだけログ取れば大量ﾀｲｰﾎ？
(>>443のように、ダムHUB繋いで横からフリーのIDS動かすのがｲｲかも)

>>420
糞作者がこれ読んでまた方式変えられると面倒だったので
書かなかったけど、まぁ、デバッガでちょっとトレースすれば解凍できるので
問題ないか。v2はAspack 1.07b（多分）。
http://linux20368.dn.net/protools/files/unpackers/2unaspack.zip

と叫んでも、2chはすぐには変わらないのですか〜？

>>464
あんまり粘着やってると身元晒されるぞ。
攻撃のせいで随時ログ取られてるみたいだからな。

確かwwwの方は全アクセスログ取るって夜勤氏が逝ってたな。

>>465は今まででも最高難易度の切り替えしと見受けられます。

　|￣￣￣￣￣￣￣￣￣|
　| 　 　 １００点 　 　 　　|
　|＿＿＿＿＿＿＿＿＿|
. 　 　 ∧∧||
　　　 ( ﾟдﾟ)||
　　　 /　づΦ

>>469
465ですが、お褒めのお言葉まことに感謝いたします。

自宅から、外に借りてるサーバーに、D-Born攻撃してみた。
tcpdumpで覗いてたけど、NATなADSLルータ使ってるんで、src addressは書き換わって、身元バレバレ (w

一連の攻撃は単独ではなく、お試しユーザー(w とかも多そうだけど、
NATの内側からの奴も多いだろうな・・。

お外に借りてるLinuxな待機系のサーバーがあるんで、後で試してみるかも。
障害時にリダイレクターとして動かすだけの、へなちょこサーバーなんで、
カーネルのバージョンすら不明だけど゜・・。

>>471
なるへそ。
NAT越しに外部ホストに対してテストすれば、
SYN+ACKがいろんなホストにばらまかれたりしないので、
安心してテストできるねー。

逆に、外部ネットにパケットが出て行ける状態で内部ホストに
対して実験すると、（既出だと思うけど）SYN+ACKがランダムな
サイトにばらまかれるので、ちゅーいするモナー＞実験する方

どぼーん実行してる連中に対しての罠の張り方
思いついた(ちうかけっこう確実)んだけど
ココに書くとどぼん厨房に手の内をさらけ出すことになるので
書かない

ホントは書きたくてしょうがないんだけど、もったいぶってる
わけじゃなし、あしからず

>473
そういう場合は、思いついた、てのも書かなきゃいい(笑)
それ書いている時点で「ﾓﾀｲﾌﾞﾃﾙ」んです。

>>473
そんな効率的な罠のかけ方なんてないって
せいぜいbbstableを取りにくるアホを引っかけるくらいだろ

>>473
夜勤氏にメールでもどうよ？

このスレはエロいな

ちなみに、これを実行したらどぼん厨を一網打尽できるわけではなく、
せいぜい一部を釣り上げて見せしめﾀｲｰﾎ(もしくはｺｸｰｿ)できる
だけっす

ポイントは、実際にDDoSに使用されているツールがひとつしかなく
どぼんの癖(ってほどでもないけど)を逆手に取ってしまうトコっす

っていうか、夜勤★さんのアドってどこに書いてあったっけ?

この艦は美しいな。

あーもうひとつ。
「効率的」じゃねーす。効果的ではあるけど。
わりとしらみつぶしに近い手法ではある。

>478
見栄坊だから
「その方法はもう知っていました」
みたいな返答されて終わりだと思うよ(笑)

Read.cgiの変更が気になるね。
d-bornって文字列見つけてip記録してそうだ・・

アンカーがime.nu経由になっただけじゃないの？

>>473
dns lookupのロギングとapacheアクセスのロギングは既出だが、
それ以外の方法にゃの？

>>482
じゃ、あんたも記録されとるんじゃ・・・

>>482
read.cgiはその名のとおり読むだけなんで、記録しても無意味。
変更するな書き込むがわだよな。

特定のキーワードのあるレスをip付きでロギング。
新バージョンupしたよ みたいな書き込みとか、転載したボケとかを記録する。

主犯格はproxy使うなりｲｿﾀｰﾈｯﾄｶﾌｪしてるから捕まらずに、扇動屋だけ捕まる。

>>482
いや、もう既にSYN flood系のスレは全部IP抜かれてるだろ。
手がかりが無くとりあえずwww鯖のログとってるくらいだからな。

>>484 うん、併せ技としてログ取るのはとてもゆうこうだけど
ちょっと違う方法だーな。

ただ、鯖の設定変更が少々要るから、屁熱湯じゃムリかもしれんわ

もうそろそろ寝るか

3chにしる。

D-Born v2.0は7F49,7F4A,7F4Dを0にすれば
ﾁｪｯｸﾙｰﾁﾝを回避できる

ここじゃ既出？

>>478
癖って、効果を確かめるために、何度も攻撃しているサーバの様子見・・・
そんなところ？

自分がそうだからって他もそうだとは限らないし。
リロードしながら何度も復活をまｔｔ

ミスった。

リロードしながら復活をまってるヤシもいるだろうし。と。

>>490
ここにいるのは、その気になれば同等の攻撃ツールを書き起こせるような連中。
もしくはもっと便利なツール持ってて、セキュリティチェックに使ってる。
少なくともD-Bornのクラックネタにはあまり興味ない。

しかし、2ch限定でポート80以外攻撃できないようにしてあるなんて、
ある意味で良心的だよな。

>493
Winのクライアントで使えるSYNアタッカーは便利だから、改造したけどね。
早速自前サーバのセキュリティチェックもかねて評価してみたよ(笑)

チェックルーチンって、たぶんstring.h系の関数使った単純なものだね。
回避するっつーか、"2ch"って文字列定数をNULL文字列にすることによって
なんでもパスできるようにするっつーか。

無能な学生の浅知恵ですが。

>495
その通りだよ。

>>473
偽D-Born配布してそれでﾀｲｰﾎとか？

>>495
ちなみに、"2ch" -> "\n\n\n" にすると、絶対マッチしなくなって
安全ですか？

やっぱ当たりですか。

>>498
実際やってみればわかると思います。strcmp系関数の仕様とかここで聞かれて
も即答できないんで、以降はプログラム技術板のCの質問スレにて・・・
(つーか自分ただの情報系学生だし)

ちなみに、次のバージョンから
strlen(STR) == sizeof("2ch") / sizeof(char) - 1
みたいなチェックが入る可能性も？
(こんなアホなこと考えるのって自分くらいのもんかも)

>>499
条件分岐命令をNOPにすれば、強制マッチ/強制アンマッチもらくらくですか？

>>500
"2ch"って文字列をサーチしてその部分を書き換えるだけなら簡単ですが、
条件分岐命令なんて、何処が該当部分か、初心者には見当付きませんがな。
つーか、改変したバイナリを自分で使うだけなら、そんなこと気にする必要
ないような・・・。

いじめですか？(泣

いつからd-born改造スレッドになたーんですか??

>>493
strcmpってNULLと比較すると結果が（・∀・）ｲｲ!!って帰ってくんのヨ
今回のはそれを逆手にとったやり方だナ

>>501
すんません。ちょっといじめでした。泣かないで〜〜

つーか、攻撃ツールくらい、バイナリ弄らなくても自分で書けばいいじゃない
ですかぁーWinsockとかのrawソケット使えば、簡単に作れるでしょうがぁー
(作ってみろなんて言わないでください。)

素人学生狩りですか？(泣

>>502
なんつーか、SYN Floodに関する新ネタｷﾎﾞﾝ。

想像力なしさんあたり、降臨きぼーん。

つーか、バイナリ解析なんてやったことないので、strcmpなんて全くの勘です。
こんなんでも、プロになれますか？

>>507
なれます。
他社のソフトのリバースをプロでやる人の会社って・・・

むかしリバースしてパソコン作ったメーカーがあったよ。
関係ないのでsage

＞503
NULLとNULL文字の混同が心配されます

>510
混同で思い出したけど近藤正臣老けたねぇ〜

IPv6導入したら、そういうのに強くならないの？

>>509
なつかしい話だね。すっかり忘れてたよ。

FreeBSDに変えることくらいどって事もないだろうにな。
なんで出来ないんだろ？
攻撃age。

>>514
サーバーを運用したままOS乗り換えについて、そこまで豪語するなら、
渡米してhe.netのSEたち首にして、自分でやってこい。

　BSD廚って、何でもBSDにすればいいと思ってるからうざったいよなぁ。

>>516
FreeBSD-4.5Rの実験結果（10万パケット/秒のSYNflood食らっても
平気）が出てるから、Linux厨より強気になってるのさ。

> サーバーを運用したままOS乗り換えについて、そこまで豪語するなら、
> 渡米してhe.netのSEたち首にして、自分でやってこい。

2ch程度のシステムなら、代替サーバーが1台あればいいだけで、ごくごく
簡単じゃん。
今までも板の移動なんてしょっちゅうあるんだから、既に動いているサーバー
の1台を代替サーバーに当てればいいので、ハードウェアに必要なコストは
ゼロ。板移動の運用コストだけ。

このくらいの作業で豪語なんて言葉使っちゃいかんよ。

>>518
運用会社の人間に移行するよう説得して機材を用意させる等の
作業をまったく考慮していない。

he.netの人たちがlinux以外使いたがらないんじゃないの？

>517
　実験数値をそのまま運用数値にあてはめて持ち出すなんて、Micro$oft
そっくりだよなぁ。
　ちなみに、わしはSoralis使いなんで、BSD vs. Linuxなんて目くそ鼻くそな
話はどうでもよいです。

　自慢したい余りに、できもしないBSD換装とか持ち出して、話をずらすバカが
うざったいのがわからんのかね。
　BSD自慢なら、BSD板逝ってこいよ。

　ここでの話題は「現に運用されている2chのサーバを」「業務レベルの管理
作業で」「SYN Floodに対策する」話なのだよ。
　そこいらのあんちゃんが余ったパーツでくんだマシンを入れ替える話してる
んじゃないんだからさ。

（´-`）.｡oO（自分が何かやるわけでもない割にプライドだけは高い521もえ）

>521
BSD板ってドコデスカ？

夜勤だったりして。
日勤だったりして。

>>523
http://www.shitaraba.com/bbs/bsd/index2.html

ところで、Solaris の対 SYN flood 性能はいかほどなものなんでしょ。
スレ違いですかね。

＞ちなみに、わしはSoralis使いなんで

ぉぃぉぃ

（´-`）.｡oO（Solarisのぱちもんだろ)

　あうっ、逝ってきます>s/ral/lar/g

一時荒れそうになったスレがなごんだのはSoralisおかげかな
そこまで考えて typo するとは

つい3時間前まで大学に居たが、図書館の端末、公開proxy云々でカキコ
できないやんけ！（つーかproxyなんて公開すなー）
というわけで、日中のレスは学科のLinux端末からでした。

>>510
正確には、NULL文字を先頭とするchar型配列の先頭へのポインタ、ですな（ｗ
つーか、 "" ←これ何て言います？自分はNULL文字列って読んでますけど。
激しく板違いですな。スマソ。

>>530
そういえば、自分も先日typoを・・・。↓
http://pc.2ch.net/test/read.cgi/unix/1001393679/427
×liblary
○library

Googleで検索してみたら結構あるんですけどね。
http://www.google.co.jp/search?q=liblary&hl=ja&lr=
ついでにSoralisも。
http://www.google.co.jp/search?q=Soralis&hl=ja

>>531
> つーか、 "" ←これ何て言います？自分はNULL文字列って読んでますけど。
わたしは勝手に「スカ」と読んでいます

なんか攻撃だんだんひどくなってねぇか
昨日は w3m だと3回ぐらいリロードすれば読み込めたけど
さっきは全然だめたった。
例によってハゲ板のあるサーバは平気だったけど

>>532
NULLじゃなくてNULだろ？
# いつのまに、初級C言語スレに...?

http://mappy.mobileboat.net/~seek/
2ch鯖監視所はこちら

＞いつのまに、初級C言語スレに...?
多分漏れのせいです。
でも、文字列はcharの配列よりstringが好きです。STLマンセー

D-Born作者がこのスレ見てたら、次のバージョンにはバイナリにエンコード
かかるかもしれませんな（ｗ

また重くなってたね。攻撃されてるのかな。
Proxy規制がキツくなったのも攻撃のせい？

通信技術板にひろゆき が出てきてるから見れ

http://pc.2ch.net/test/read.cgi/network/1013926738/l50

SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/

>>536
v1もv2もかかってるかかってる。
まぁ俺達にとっちゃ無意味だったけどね。

おーい、だれか↓に応援しに来てくれ
SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/

ひろゆきが真剣に教えて君になってるyo!

>>543
今に始まったことじゃないよ。

>>537
っていうかウチの職場の上流も公開串と
見なされてるのはどーいうことよ(泣

仕事中の安全な暇つぶしの一つが無くなった・・・。

# くそー、ウイスキ煽ってでも無理矢理寝よう。
# 明日は書ける・・・といいな。

>545
２チャンネルのアドレスに対して、会社のポート80ふさぎなよ。
それで完成。

こっちの人が通信板に来てくれたようで解決にむけていろんな意見がでてきたよ。
あんがとさん

でも金がないらしい・・・

予算的にPIXはきついんだろーな
いま PIXはいくらするんだろ

Ｋ察に通報した方が早そうだけど２ｃｈとしてはそれは出来ないんだろうな・・・

夜勤さんも来てるな

議論はあっちでつづけてもらって
わらひは言いたいことは言ったのでもう寝る。
寝不足に弱いんねん。
あとはひろゆきと夜勤がなんとかすんだろ

>>544
まあ、本職じゃないんだから、しょうがあんめーよ。
管理者としては、聞く耳を持ってるほうが重要だ。

いま通信技術板に夜勤が居る。
FWを入れるのは、可能だそうだ。

あっちって、ここでの1週間前の議論が繰り返されてる気がする…
高負荷時のLinuxのsyncookieは使えんというのは、
もはや前提事項になっちゃったのかなぁ。

それと、FreeBSDの場合に、そういう問題は発生しえないものなの?
誰も試した結果は出してないよね?

>>555
いやだからLinux-PC以外の機械を置くことも可能みたいな
ことを言っているぞ夜勤は。

ごめん。>>555で聞きたいのは
2chでの対応法でなくて、
LinuxとFreeBSDのsyncookieの性能差ね。
ほんとにLinuxはダメでFreeBSDならイイのか問い詰めてみたいと。

>>557
それを実際に実験できる機会が巡ってきたかも。
とにかく通信板で夜勤をちょくせつ問い詰めて
みるべし

FreeBSD というより DARPA&NAI lab のおかげっぽいな、、、

>>526
明日Solaris8に向けてd-born発射してみて結果を教えてあげるYo！！
TCPのデフォルト設定と、ちょっとイジった設定と2つやってみる予定。

>560
たのしみにしとくよ

>>561
ターゲットが素のSolarisなんで、*BSD系みたいなことはしません（ごめんね）

イジり方向としては、Solarisの場合バックログキューのデカさが
たよりなんで、そこんところイジってみます。（qとq0のアレね）

すぃん・ふるっど

>>563
ふらっど
http://dictionary.goo.ne.jp/cgi-bin/dict_search.cgi?MT=flood&sw=0

>>546

漏れ下っ端なんでそこまでの権限無いです。
個人で契約している自作CGI置けるサーバーに
小一時間で作ったCGIプロクシ置いてそれ経由で
書く事にしましたが・・・。
# 認証かけたのでこれは公開じゃないぞと問いたい、問い詰めたい

数日前からウチのお客さんが「SYN FLOOD に対するセキュリティが〜」とか
言うようになっちゃった。彼もにちゃんねらなんかな…

>566
だろ？

今後、SYN FLOOD がらみのセキュリティ案件が大量に増えると思うので、
各社ＳＥさん、営業さんは勉強しとくように。
思わぬところで金儲けのチャンス！！

向こうのスレではだいぶ対応方法が煮詰まってるみたいですね。
SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/n289-290

で、このスレとしては、引き続きSYN floodアタックツールを使ったテストを
行う方向で。

・D-Bornの改造および攻撃テストの方法についてのまとめ
2ch以外を攻撃対象にできない制限は、バイナリエディタ等で "2ch" という
文字列に該当するところの先頭のバイトを全て 00 (NUL) に書き換えるだけ
で解除できます。チェックルーチンは、Cライブラリの文字列比較関数を
使った単純なものらしい。

テストは基本的に自分の責任の持てるサーバを対象に。NAT付きルータの内側
から攻撃を行えば、IPヘッダが正しいものに置き換えられるため、ターゲット
が外部にACK/SYNをばらまく心配が無い模様。その辺は各自工夫を。

あとはくれぐれも自己責任で。
つーか、プログラム書ける人は自分で書いて下さい。

以上でよろしいですか？

訂正。書き換えのところの「全て」は余計でした。

よろしいかと。
RainていうSYNフラッド系ツールなんかもあるし、探せばいっぱいあるかと思います。

Unix Magazine に DoS ネタ出てたね。

期末テスト、今やっと終わりました。プロバイダのバイトがてら、
もうちょっとこのへんのスキルを磨こうと思います。
さすがにSYN floodのテストやったら怒られそうですが(藁

残念ながら、うちにはテストできる環境がありませんもので。
(学生で自前でそういう環境整ってたらある意味恐ろしいが)

>>573
PC 2台で十分テストできると思うが。

>>573
VMwareかVirtualPCという手もある。

>575
その手は桑名の焼き蛤

>>574
うちはノート一台なので。
先輩方の研究室のネットワークを拝借するという手もありますがな(w

まあ、どっかで「セキュリティのチェックやらせてください！」とか言って
強引にテストやってこようと思います。

すなおに「2ちゃんねるの危機なんです!」って言えよ。
どうせその先輩も2ちゃんねらーだろうから巻き込んじゃえ。

>>571
ttp://www.cotse.com/dos.htm
の
synful.c SYN/ACK and SYN flooder
synk4.c Random IP spoofing SYN flooder
なんかでいいのかな？

>579
またすごいところを持ってきたね(笑)

ヤフーのチャットで題名が『hikaru』と言うファイルをダウンロードしたら一定の時間で怖い女の人の画像が一瞬出てくるんですけどどうすればいいか教えていただけませんか？
削除しようとしたら「hikaruは削除できません。指定されたファイルはウィンドウズが使っています。」って出るんです。もし、わかる方よろしくレスお願いします。

>>581
板違い

怖くなくなるまで頑張ってみつづける

>>581
こっちが適当。僕らWindowsはあまり触らないから判らないのよ（笑

スレッド立てるまでもない質問はここでvol.144
http://pc.2ch.net/test/read.cgi/pcqa/1014035890/

>>581
別パーティションにUNIXを入れて、そっちから起動して、
Windowsパーティションをマウントして削除しれ！

この板風に言えば、こうかな。

こういうことにしか役に立てないので、マジレスしてみる。

>>581
とりあえず、スタートメニューの「プログラム」の「スタートアップ」に
それっぽいプログラムのショートカットが追加されてたら、それを削除。
あとはとりあえず再起動して、そのプログラムを消去。OK？
もしそれでだめでも、以降ここには書かないでね。>>584のリンク先にお願い。

そういえば、漏れ高校生のころ情報処理室のPCにタキシード山本仮面を仕込んだ
ことあったっけ・・・（爆）

>>579
いただきました。

>>586
ソースでお勉強してくださいまし。 敵を知り己を知らば…ってことで。
いま読んでるけど、判りやすいシンプルなソースなのね。

>>586
もちろんソースで勉強してます。ソケットプログラムの書籍片手に。
ウチのPCに今Linux入れてないので、動かしてみることはできないけど、
読んでたら大体やってることはわかりました。

こういうヤヴァめのソースコード読むの好きなんで・・・

自分に向けてレスしちまった。

↓ｶﾞｲｼｭﾂですが

106 名前：ひろゆき ◆L3IpNS4A 投稿日：02/02/19 00:56 ID:Kq3S9ZHK
うへへ。。
http://www.humanfactor.com/cgi-bin/cgi-delegate/apache-ML/nh/1997/Jun/0486.html
これってapacheにListenBacklog入れて解決ってことっすかねぇ、？

今日Solaris8にd-bornブっぱなそうかと思ったら
正体不明のヤクザパケットが行ってはならないところ（詳細ひみつ）に
行ってしまってその調査に追われよったとよ。

つことで実験は今週のどこか、にします・・・なさけなや
同一セグメントだとドボーンの威力ゼロだしのぉ　実験しづらいわ

>>591
同一セグメントでも、どぼーんしますよー。
実験もしました。
で、ヤクザパケット防止には、既出ですがNATの内側から
（結局同一セグメントじゃなくなるけど・・・）しかけるとOK。

SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/

こちらで、いまから公開実験開始〜。

>>593
↓実験中なのに・・・・・

　　494 名前：ひろゆ子＠暫定管理人 ★ 投稿日：02/02/20 03:15 ID:???
　　わーい。荒らせ荒らせー。

テストにも実験にもならい物が終了しましたな。

まあいいんじゃネーノ?
この素人っぽさが以下略

確かに素人っぽさ つーか、素人丸出し。
なんかあっちで言ってた奴いたけど、あんな貴重なテスト用リソースを無駄にして・・・。
しかもテスト要員の人件費は無料だ、羨ましいゾ!!

公開攻撃実験お疲れ様でしたー。
実際に2chを稼動してる状態でテストしてみないと、実用に耐えうる
かどうかなんてわかりませんからね。
ま、あれはあれで良かったんじゃないですか？

ハングル板が避難所と化してアクセス集中してもkaba鯖が落ちなかった
ことから、大体イケそうな感じだと思ってましたけどね。

で、やっと解決でしょうか？

どういう修正をしたのかいわないのは、セキュリティリスク回避じゃなくて
いえないような恥ずかしい理由だったりして。

６００

nattoとyasaiが落ちてる。
新たな火種か？(笑)

>>601
ﾊｰﾄﾞﾃﾞｨｽｸ交換中

>602
そっちか！
でももう何時間になるの？

８時半ぐらいからだから…

飛ばしたんじゃないの？ディスク(笑)
フォーマットしてマウントして、データコピーして構成変えてって作業か。
かかるかね？このくらいの時間。

↓珍しく昼間のカキコ。

765 ：ひろゆ子＠暫定管理人 ★ ：02/02/20 12:50 ID:???
総合的に推理すると、、SYNcookieらしいです。。
でもよくわからんです

>>606
SYN cookie ONの設定が有効だったらしいです という意味かな？これ。

>607
SYN Cookie使ったら効果あったって話でしょ？
そもそものスレッドでかぼしっしょーがずっと言い続けていたのにね。
気の毒に(笑)

>>608
んじゃ　ＬinuxのSYN cookiesは高負荷時にも耐えることが出来ると証明された
わけだ…。

>>606
一応解説（英語だけど）
http://www.redhat.com/support/errata/RHSA-2001-142.html

>>609 いいこと聞いた．．

パッチ当ててなかっただけか？
しょぼい結末だな

>>612
そう単純な話でもないのだが…。

>>613
もったいぶらずに教えれ

>>614
>>272-286 あたり見れ。

これの原因は結局何だったんだろう…
--------------
507 名前：夜勤 ★ 投稿日：02/02/12 00:11 ID:???
ここでちょっと。。。
みなさんは、前回の攻撃を覚えているかしら?

519 名前：夜勤 ★ 投稿日：02/02/12 00:13 ID:???
ちゃうちゃう、 bbspink が陥落したときのこと、、、

531 名前：夜勤 ★ 投稿日：02/02/12 00:15 ID:???
その時　実は、syn_cookies　いれて見たのだ。
で結果はどうだったかというと、

557 名前：夜勤 ★ 投稿日：02/02/12 00:18 ID:???
一日中誰も見えなくなったとさ。。。
we already tried syn_cookies
it didn't work. Nobody could see bbspink.com
I couldn't see it either, that is when syn_cookies were installed.
-----------------

tcp_max_syn_backlog の設定値の所為？

>>609

うーん。
HTTPならいいけど、SMTPには syncookies は使わない方がいいと思う。
だから、提供するサービスによるのでは？

SSHもSMTPと同じく、うまく動かない例だが、こちらに syncookies を
使うのは、まあ許せる。というのは、SSHは対話的な利用がほとんど
だろうから、クライアント側がハングしても、killして再度試すという
ような対処(いわゆる運用で対処)ができるから。
(逆に言うと非対話的な用途にSSHを使っている場合は避けたほうがいい)

ところが、SMTPの場合、MTA間の接続で非対話的にも使われるから、
syncookiesを有効にしているサイトに接続しにきた相手のMTAが、コネクション
開設時に引っかかってしまう危険がある。つまり、大量のメールをさばくサイ
トでsyncookiesを使われると、そのサイトへメールを送りにくるMTAに迷惑を
かける危険がある。MUAが繋ぎにくるだけなら、特に最近のWindowsクライアント
とかなら、引っかかってもユーザーが気づいて再試行できるのでいいんだが。

サーバー側が先にしゃべるプロトコルで、かつバックエンド側で非対話的に
使われるプロトコルの場合には、syncookiesはトラブルの種、しかも相手に
迷惑をかけつつ、自分は問題に気づかないという最悪の種類のトラブルの種
だと思う。syncache だけの方がいい。

というわけで、Linuxが syncookies をデフォールトでオフにしている判断は
正しいと思うし、この点に関してはデフォールトでオンにしているFreeBSDの
判断に疑問が残るなあ。(syncache の方は、デフォールトでオンでいいんだが)

>>617
丁寧にありがと。

こちら新米管理者ですが、では対Syn floodのみを考えた時には、Mail-serverは
FreeBSDで、Web-serverはLinux又はFreeBSD上での構築が望ましいということかな？
もちろん、防壁を買わずにコストを安く上げようとした場合の話だけど…。

>>618
＞Mail-serverはFreeBSDで

NetBSDもSYN cacheが使えるみたいですよ。代わりにSYN cookieの
ほうは実装されてみたいですが。
って、あっちのスレに書いてありました。

あと、Webサーバの防衛手段としてSYN cookieが比較的有効なことは
今回の公開攻撃実験をもって照明されたことですし。

s/されてみたい/されてないみたい/

さらにgが抜けてた

>>621
一回だけの置換ならgはイラネ。

>>617
＞自分は問題に気づかないという
syn-flood受けるとsyslogに出てくるから、メール通知なりトラップあげるなりすればいいんじゃない？

＞Linuxが syncookies をデフォールトでオフにしている判断は正しいと思うし
syncookieがオンになるのは、syn-flood攻撃で、正常にtcpセッションが張れなくなった時のみ
smtpは、syn-cookieに関わらず、syn-flood攻撃を受けていないと接続でき、
syn-flood攻撃を受けていると接続できなくなるだけ
syn-cookieのデフォルト値は関係ない

>>618
25番port宛てにsyn-flood攻撃受けることはほとんどないだろうけど、
syn-floodのみを考えると、たしかにそのほうがいいかもね
ま、syn-cacheも完璧じゃないからあんまり過信しないように

>>618

syn flood の心配がなきゃ、OSは、なんでもいい。:)

あと、2chのように多数のサーバーで負荷分散している場合ならサーバー側で
syn flood 対策した方がいいが、少数のサーバーで運用しているなら、商用
firewall の syn flood 対策機能に頼るってのでも問題ない。

618で書かれているように、syncache は NetBSD にもあるし、もともと BSD/OS
で開発されて公開されたものだから、当然 BSD/OS にも入っている。
Solaris 2.6 以降の tcp_conn_req_max_q0 による設定も、たぶん random drop
戦略だと思うから、syncache と同等なものだと思う。
(tcp_conn_req_max_q0 は、負荷に応じて ndd で調整する必要があるが、
チューニングが必要なのは、syncache 系の実装の場合、どれでも同じ)
だから、選択肢は FreeBSD だけじゃなくて、少なくとも NetBSD, BSD/OS,
Solaris がある。俺は Solaris と BSD/OS 以外の商用UNIXは良く知らんので、
他の商用UNIXでも大丈夫かもしれん。

それに HTTP 系のサービスなら確かに syncookies が有効だが、特有の弱点も
ある。TCP のシーケンス番号空間はあまりに狭すぎるので、syncookies が有
効だと、spoofing された IP アドレスとのコネクションが確立してしまう危
険がある。syncache ならこの危険はない。だから、syncache で負荷がさばけ
ている限り、HTTP 系であっても syncache で済ませた方が安全と言えば安全
だ。メモリさえ十分にあれば、syncache だけで、相当のところまでいける筈だ。

>>623
> syn-flood受けるとsyslogに出てくるから、メール通知なりトラップあげるな
> りすればいいんじゃない？

よそのサイトのMTAから、自サイトに接続しにきているような場合、そもそも
どのサイトから接続しにきたかというログさえ残らないので、たとえトラップ
を上げたところで、対処のしようがないだろう。

> syncookieがオンになるのは、syn-flood攻撃で、正常にtcpセッションが張
> れなくなった時のみ

ここで「デフォールトでオフ」と言っているのは、
/proc/sys/net/ipv4/tcp_syncookies がデフォールトだと 0 だってことを
指している。

> smtpは、syn-cookieに関わらず、syn-flood攻撃を受けていないと接続でき、
> syn-flood攻撃を受けていると接続できなくなるだけ
> syn-cookieのデフォルト値は関係ない

ここでは、SYN flood 下にある場合、syncache ならinitiator(==よそのサイ
ト)側のMTAがリトライしてくれることが保証できるが、syncookies だと、
その保証ができないだけでなく、最悪の場合initiator側のカーネル資源に
leakが起きる危険まであることを問題にしている。

> ま、syn-cacheも完璧じゃないからあんまり過信しないように

これは確かにその通り。
それに特にHTTPのようなサービスの場合、カーネル資源を全く消費しない
syncookiesは非常に魅力的ではある。ただ、上で書いた当てずっぽうの
シーケンス番号でコネクションを確立される攻撃がどうしても気になる。

参考までに
FreeBSD 4.5R で syncookiesをオフにするのは次の行をスーパーユーザで実行すればいいよ
sysctl net.inet.tcp.syncookies=0

>>624
そんなに「狭すぎる」かなあ。例えば djb がここ
http://cr.yp.to/syncookies.html
で示しているいる方式なら、
攻撃者が初期シーケンス番号を推測するのに必要な空間の
大きさが 32 ビットから 24 ビット程度になるだけだし、
FreeBSD の方式だと MSS の表現は 2 ビットに減ってるみたいだから
(違うかも) もうちょっと広いはず。

というか、24 ビットのエントロピで spoofing の危険があるなら、
32 ビットでもやっぱり危険だと言ってみるテスト。
そもそも TCP シーケンス番号の spoofing を気にする
レベルになってしまったら、ingress フィルタや
暗号学的に相手を認証するプロトコルを使うべきだと思われ。

OpenBSDはsyncache実装されてるの？

> そんなに「狭すぎる」かなあ。

FreeBSDだと100K SYN/sec. までOKって話があったでしょ。
このレートだと、24ビット空間を全探索するのに、2**24/100K で、
たった167.77秒しかかからない。100K SYN/sec. で実験して動いて
いたんだから、FreeBSDの場合、もうちょっと空間が広いのか、
あるいは別の安全機構があるのかもしれないけど、その辺を知らない
ので、安心できない。

しかも、実際に RHSA-2001-142 みたいな報告があるということは、
特定の実装と、特定の利用環境だと、実際にこの手を使った被害が
あるってことじゃないの？

これが32ビットだと、1日2回のまぐれ当たりのレートなので、1年〜数年に
1回くらいのリブートを見込むなら、問題にならないと思うけど。

えと、 RHSA-2001-142 はまだ良く読んでいないんですけど
どういう対策なんでしょうか？

> どういう対策なんでしょうか？

http://www.redhat.com/support/errata/RHSA-2001-142.html
を読んでね。

パッチのソースは読んでなくて、文章を読んだだけなんだけど、全ポートで
一斉にsyncookiesが発動するんじゃなくて、ポート毎にsyncookiesが発動する
かどうかを判断するようにしただけみたい。だから、根本的な対策をしている
わけじゃなくて、被害の範囲を狭くするだけのような気がする。

RHSAに書かれている通り、ACKが立っているパケットを素通しするような
良くある packet filtering をしている場合、このパッチを当てる前だと、
非公開なサービスまでも被害に遭うので、確かにこの対策自体は、やる
価値があるんだが。

linuxに詳しい人の解説希望。

スマソ、自己完結 ↓なのね ....
615 ：名無しさん＠お腹いっぱい。：02/02/20 18:47
>>614
>>272-286 あたり見れ。

> OpenBSDはsyncache実装されてるの？

されてない。syncookiesも入ってない。

なにげにトリップを変えてみるテスト。
なんか、お勉強スレになってますね。もちろん自分もメモしてます。

Solaris7と8でどぼーんを実験してみました。
7・・・同一セグメント（10base、nddはデフォルト）：有意な接続遅延発生せず
8・・・ルータ４つ越え（スループット14KB/sec、nddはデフォルト）：有意な接続遅延発生せず

（solaris7,8のnddのデフォルトとは、 tcp_conn_req_max_q0=1024のこと）
　
実験は下記のごとく。
・7マシン：CPU2枚×UltraSparcIII300MHz、メモリ4GB
・8マシン：CPU2枚×UltraSparcIII600MHz、メモリ4GB
・WEBサーバ：ns-httpd

・普通にHTTPを要求するクライアント：被験マシンと同一セグメント
　time echo "GET / HTTP/1.0" | telnet 被験マシン 80
　にて1GETあたりのレスポンスを計測しつつ、これを1秒おきに実行するものを用意。
　さらにそれを20多重で動作させて各々のレスポンス遅延を見る。
　単純計算で20tps程度GETの負荷がwebサーバにかかる予定　

・どぼーん：7では同一セグメント、8ではルータ4つ越し
　7マシンに向けては毎秒1000パケット程度どぼーん
　8マシンに向けては毎秒10パケット程度でどぼーん（回線遅いの）

・結果
　7での試験、8での試験ともに、
　connect-get-disconnectのレスポンスがmin10msec〜max300msecの間に落ちつく
　どぼーんあり・なしともにレスポンスの変動幅は変わらず

・不備点
　有意な差が見れなかったのが謎として残る（呼量が足りない？）
　8マシンは遠いので、フィルタリングされている可能性があるかもしれない。
　確実にSYN-FLOODを引き起こすパケットがSolarisに飛んでいて、
　なおかつSYN-ACKが届かない状況であるのか検証必要かも。

>>592
情報さんくす。
でも同一セグメントで打ちこんでも何の効果もなかったんよね。
Windows2000にもやってみたんだが・・・
2chみたいに何十秒も固まらなかった
SYN-ACKが戻れないようにすればsolarisの場合発生してもいいはずかなと。

ちょっと不思議だなと思って。
で、思ったのが同一セグメントだと戻りのIP<->MAC検索サボるのかなと。
netstat -a をノンビリ眺めてたらよかったのかな。

運営サイドから説明がまだありませんねぇ。
以下はあくまで憶測なので違うところがあったら指摘よろしく。
憶測で話すことは必ずしもいいことではありませんが、ここで技術的な意見をききたいです。

私も自宅のSol8 に synfloodをためしてみて、 Sol8は結構な耐性があることが
わかった。他の人の報告などもあわせて聞くに、次の様に対策したんではなかろうかと
思う

1. 19日以前は2ch サーバの関係するカーネルのパラメタはデフォルト値が128の
まま放置されていたサーバがあったのではないか。これならサーバによっ
て攻撃されても強いサーバ、弱いサーバがあったことの説明がつく。

特に次の２つ
socket.h : #define SOMAXCONN 128
tcp_max_syn_backlog 128
solaris8 はデフォルトこれに相当する数値がそれぞれ 1024 になっている
また、syncookie は有効でない。 synflood 対策としては最初にこのパラメタを
増やすことが効果的である。

2. 19日にこのパラメタを変更した
これだけでかなり synflood への耐性が上がる。

3. さらに SYNcookie を有効にした
ここまでで対策できた

4. RHSA-2001:142 に相当するパッチを適用してるかどうかは不明

そもそも 2chのサーバはtcp:80 だけ synflood に耐えればいいので、必ず
しもポート毎にSYNcookie を制御しなければいけないわけではない。

私は以前は 上記2 までは（サーバセッティングではほぼ常識なので）今回の
synflood騒ぎ以前に対策されていたのかと思ったが、私や他の人がsol8で実験
した結果をから考えて 実は 2ch サーバではチューニングしてなかったのでは
ないかな

長文すまん。

>>579をSolarisにポートしてみたりして......
# bzip2+base64

QlpoOTFBWSZTWUYbZDcAB5j/gHkwAAhb///////+7r////9gE/94O2ojqdrppNaq
QcuErgoN3feN3hqO2AFRUADbBVNZMzUgVaAwlCJGKnjSn5NEnkMnqNCPQjAANCep
kYQYAEMJTSAmjIggpskPRAAMhowgAAAANNNBwNGjEGjTJhBiAxGJo0aNAGmmgAAA
CTSSRooyT0Cnsmqek/VNHpNNHqPUaaGnpAAANAAARqoZAAAGgAAGgGgAAAAAGmgJ
ERAIACNACaanpqnpoU/KCejNUD9SGnqHpM9SM0hcizeQH3sEDaSAlPuP4yQHAot9
az/pRVJUqSttJonDY/McTY2BU4cVYMgky4YUpSi3DMwbTGhkFtY221thms0wiAME
wK6D5Nz3/90h6NqPnO25s7lpxQa45caCzj/27Pkw5MzdWXw7pk0y6vFjrfOSN1m5
/P+utE+Vz5YHJ2YGLensvqhpKkT6QUzhh8Aj8IODZoJpgEhg2QOiqZhqVISL2ANl
1RHqLKUN0E4wUmkwy9kYEAY1ii4nPLJFDTNN8+MzEHLFUK0sWghgS0emQXWU4TjN
AuiAZ4PPhSYrFHL1fa4BCT25BZCGuVMjztGMBAkmrYEkpKEh4Aoe1OgRVVVQYgwW
MNBDTMkxGDIMgIAxRGpHn3v7boQFXYwLTOfdowQGY93z+cb19uz5YffeZJ+bSIML
47K6jWfjZYizwezb2FtpVjQ/GAg/TxgnfShMQaPxsIaqMZ4vOyRjNZkfMPZ/Z+g6
5g+E/Cta1uPNJK/bQFpa4G8BIKia6Cgh+MF0cISApVhQbf7AlVCgQf9MRAveaOxC
XKXy5R0SM+e+Ps4VmrZWDuyIvDMtwl6ikXYX5TnOdToPJmqqvq0y1ib0LBWJY0e4
sEo0qrZjJ41VSAiVwqTvae5fLWJ2M/GxMQPx8VvQJg4eUTaPDbswnv6HoVMq83JI
bjaqMuvOxkip4K89yY02wJg9KadptKlyrBdeQLz1nZKRlaZxhbQ9ZJCcoDwJ5FoI
pIeJ/kt1qHYq57W/ETPfYMkaOzOGvHwDjjmtd4V4BgXFVPBEZTqw30DSkriOq06R
bcXn/BeOeqpi15pmik0mFFxzch0dlEyHpQvE6ctiPe79NFXz3MzR2lXjaOSkjUao
5yHLrpTXOPrmlpcMGMTYmwBtCbSw1GOKhATzPJ3a5BclMTdAI0pEakHEIxiOQRKB
l6LkYk+7u09pK+Oj0OBYY0ZyePN2nB0/K76pUoci5JNaV6Gas/l0wWFzJbd20Yxj
bZS+F19tDdbU14dSubYGEQyM14pEfWc3yLMP2ee9YuWjVai1g1y5QIIUiCowU3nG
kns9Ps9ns59E4sEpTxbeTe0NqeYtLItU/t6Ebo2MUwLjgAdgYhW4qxCGge+x0BHn
rr3CBTUSEiwIKGvYCpoKNjqwwGHOIrfcyAxNEXoqVcyiILoOsoSUCykQ31qXjSW+
RMyL3iRJUv7HJ60Ndu5acYRznMqeYYGLyTjo2e/C3M5M0yUn0tAvK1MBnH82GeXL
lpuICI4YZDQENxQSYR1Yl0dy+k1neJTmj4af071nWrvKWVees+uulc8cbOPe1qwr
4F3cZMa4UnheBzQwsZ3z5XZnfkZTm/fBfr17t1+2dQVZkX9yOtpJpCJBlyGLUJNE
IuAID0EhJhcDDrJSNoiEdB0UMuX1anGBsOB8ETmQdImLMKQMRM5DGVUGgoIjo4aN
k2ngyTt6Hz6qMH9X5/Gb1kQsMRsp1HmVniZL+0/UfaeIYF0UGZG1UwuW3qPODSF1
kwzJSHGWYGsluj3fEmI7ikHb3xTopaLI4nukUizMrJYL9Vxg+1gu22fhdlMj6TqU
DaKlGCEIfhUYplMvogImce8hDGQkt6Ng0Iiz3VSXd6Bgj7toNhuMcW9XWOEw6LLF
6y1V83ePdruejn6dO4e4J4dfEceOwd5UkBRRVVRYqqn0DoMxRVXWaolbo1EdiFl2
LWpCDaqqRIqLFiqqqr75aqr70gfV9yH4vL4wgPkyRzJMUMg5mew2wQQu87ujl1AT
HxX2fqbBmayGVbmghqPHykU91MQxC4IFBHqb+5XVikyyvxwZZxYTWSFJMds/D/k1
w6pz6NT4Q/91RqREk5yt0XFUffYRliU9HqKy6YhVnBJZ7LKDVStXYOat5Nh0VRE3
yIRD4wWyGvdKuokaEZgTJzjpBWvLNtWERFuxqrikZ57GuSwxmztOe4hCcMhBiWmY
rOjZNZndnavbKEiUs/VGMeXJ3e2mhbBjcgNLjtxCjB2mTcQxK47uQsje5kX6alyV
GZsDHW4X205VShWmMhidLVzM4Z5Q2nKEn3hlq0UL4svLxM2cC8LwzHp6x+XaU9cH
rnVPk5et0RlH+oVPcHPXUllSHVtpMKzdu3iUGcq7En0gGkr0o6kUSRch46RF0uTL
b3N0WKnbi5DR7wyUg+FDsgnyzjQTHkTd3T31pOp5uj5RKvDD64eEU7YTTSTRdkUc
W2l7KRapZQCpnuz7+s6ZOzh0O7FXyhuIKkVjEM53rmh1CLwTZxcM9IU3RrOSQb0Q
TLXm0mGctHcbeZ82SSH/khO4YiEqgoIEpPZx9qrQ6GoQV5JNvXuUyPJqPa4XnMRB
KG86Va72FTVX3aC/48rR4Ry0C1Yj5pLzeUtKG9CWnZ6wSMXloIAGgC2APpHlAMvA
iRBJ76XYsRSiBocI+jwSZIDhbUsFQuVPcr4VLQGyPtieIzD76HBJJdIszMPu4xqw
ut4tjxtwYcJbn2OAHADLWmBqAdwC5vgYY+7oYkG4oA5kERERxy4oi+hGpkERTubb

bGPkBB4dPKwzFd28J/zD8CUMqZl9RiWmBvOBfIRq2rl4eYkOvdgNT/fXcwnCcC4n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　一瞬ISHかとおもった・・・とかゆってみるテスト

CERTで見てみたらMicrosoftは
「2000はSYN-FLOOD大丈夫だもんね、フフン」
という声明出してた　信じられれん・・・

どぼんじゃホントに効かなかったけど。
一体ホントはどういうアルゴリズムでの防御が効くのやらこんがらがってきました。

てことは最初にこれヤっとけやってことしとけば良かっただけジャン
夜勤が変な意地はらなきゃもっと早く解決できてたのに・・・

これで夜勤ヘタレ説がますます濃厚に…

>642
http://pc.2ch.net/test/read.cgi/unix/1012006720/219

自分がマシンにコミットを深めると、アメリカンな企業のhe.netは
どんどん、責任区分や業務区分を放棄していくって事なんじゃないの？

まず最初にお断りしておきますが、 >>636 に書いたのは今までの経緯を元に
想像したものです。したがって本当にあのとおりだったのかどうかについては
わかりません。また知る手段もありません。

このまま今回の対応の顛末がはっきりせずに終ると物足りなさを感じます。ど
んな対策をしたのか知りたいと思います。そこ私の想像を述べ、皆さんからの
意見を聞きたいと思い書き込みをしました。

興味があるのは次の2点です。
1.高負荷な Web サーバで synflood 攻撃に対していままでどの様に対策され
ていたか、
2.今回はなんの対策が施されてそれはどの程度の効果があったのか

また、関係者とレンタルサーバ業者の間でどのようなやりとりがあったかにつ
いては当事者の問題ですし、それぞれ事情もあろうかと思います。私は関係者
を責めるつもりは毛頭ありません。はっきりいって Socialな面については興
味はありませんので。

>このまま今回の対応の顛末がはっきりせずに終ると物足りなさを感じます。

はっきりさせたら攻撃の材料になることくらいわかれ。

あ、そーか、きがつかんかった

>>645
そこは意見が分かれる所だと思われ。

>>637-638
こういうこと言うの非常に恐縮なんですが、激しくがいしゅつです。
ttp://www.cotse.com/sw/dos/remunix/synsol.c

自分もWindowsに移植しようと奮闘してるわけですが、ｻﾊﾟｰﾘ・・・
API見るだけで頭痛くなってくる。MFCも大嫌いだし。
UNIX系OSのAPIはシンプルで良いですね。

>>648
＞UNIX系OSのAPIはシンプルで良いですね。
NT/2000/XPでも、includeするヘッダファイルの名前さえ変えれば、
コンソールアプリやネットワークアプリは結構動きますよ

>>649
そういえばWin32のAPIはBSDを元に作られてたんですっけ。

というわけで、役に立ちそうなページを発見。
ttp://www.nakka.com/lib/inet/

>>560
> 　有意な差が見れなかったのが謎として残る（呼量が足りない？）

うん。呼量が足りてないというので合っていると思う。
これがもし linux-2.2 のデフォールト設定が相手だったら、
tcp_max_syn_backlog が 128 しかないので、SYN flood による障害が観測で
きてただろうけど。

以下、俺の理解なので、もし間違っていたら指摘してね。

・コネクション確率待ちキューのサイズ (Solaris なら tcp_conn_req_max_q0、
　BSD/OS, NetBSD の syncache なら net.inet.tcp.syn_cache_limit、
　FreeBSD の syncache なら net.inet.tcp.syncache.cache_limit、
　Linux なら tcp_max_syn_backlog) を、M とする。
・毎秒 N 個の SYN が到着するものとする。
　また、既に SYN flood 下にあり、恒常的に SYN を drop している状況下に
　あるものとする。
・クライアント・サーバー間の RTT を t 秒とする。

random drop 戦略の場合 (Solaris は、これじゃないかなあ)
SYN が 1 つ届いた時に、drop されないですむ確率は (M-1)/M。
コネクションが確立するまでの間に届く SYN の数は N * t。
従って drop されずにコネクションが確立する確率は、
((M-1)/M) ** (N * t)。
実際には、発呼側は SYN の再送を試みる。K回再送しても
コネクションを確立できない確率は、下記の通りとなる。
(1 - ( ((M-1)/M) ** (N * t) ) ) ** K
oldest drop 戦略の場合 (伝統的実装は こちら。syncache も これ。)
SYN がキューに留まっている時間は M/N 秒。
従って t <= M/N ならコネクションは確立するし、
t > M/N だと、確立できない。

続く…

560の実験の場合、M==1024、N==1000。
問題は t なんだけど、うちの LAN (100BASE-T) で計測すると、TCP の 3way
handshake にかかる時間は、1ミリ秒よりずっと小さいのね。
で、たとえば t==500μ秒==0.0005秒くらいで計算すると
random drop の場合
　　drop されない確率は 0.999512 くらい。つまり、2050回に一回ぐらいの
　　確率で SYN の再送が起きる。
oldest drop の場合
　　0.0005 ≦ 1.024 (== 1024/1000) なので、確実にコネクションは確立する。
というわけで、t==500μ秒で、1000 SYN/秒 だと、障害は観測できないと予想できる。

RTT=1秒くらい(ちょっと長いか?)の WAN 環境の場合で計算すると
random drop 戦略の場合
・M = 1024、N = 1000 SYN/秒で、コネクションを確立できる確率は 38%
　くらい。たとえ遅延が許容できたとしても、伝統的 TCP の実装だと
　再送間隔は 6秒、12秒、24秒 で 計4回なので、(1-0.38) ** 4 == 0.15...
　つまり、15% くらいの確率でコネクション確立に失敗する。
　失敗の確率を 1% まで落とそうとすると、M = 2600 程度まで増やす必要がある。
・RTT=1秒、10000 SYN/秒 で、失敗の確率を 1% に落とそうとすると、
　M = 26000 くらい必要。100000 SYN/秒 だと M = 260000 くらいになる。
oldest drop 戦略の場合
・1000 SYN/秒なら OK。1024 SYN/秒を越えると駄目。
・t <= M/N すなわち M >= t*N を維持する必要があり、かつ t==1秒 と仮定
　しているから、M >= N という設定にする必要がある。
・FreeBSD の場合デフォールトで M=15360、NetBSD だと M=10255 なので、
　N がこれくらいのオーダーを越えるようなら、M を増やした方が良い。
　(FreeBSD の場合、デフォールト通り syncookies が有効なままならば、
　 この必要はないが。)

ふむむ、なんとなく oldest drop の方が、ちょっと良い感じ。
Solaris が本当に random drop なのかどうかは確認してないので、調べた
人がいたら報告希望。

> ふむむ、なんとなく oldest drop の方が、ちょっと良い感じ。

あ、これはカーネル資源の消費だけ考えた場合の話ね。

oldest drop の場合、RTTが大きい(==遠いサイト)サイトは、SYN flood下
だと、どう頑張っても接続できない結果になるのに対し、random drop だと
そういう場合でも時々は接続できるので、random と oldest の どちらを
選択するかは結局、純粋にポリシーの問題。

>>624
う　酔っぱなので半分くらいしか式の意味を実装レベルに落せてないが、
おおまかにはそんなもんなのね？

Internet上のwebサービスっていう側面を考えると、
伝送損失による到着率低減をもう少し見こんでもいいかなとは
思うものの・・・私の試験環境はちょっと劣悪だったかもね　認めます。
（バックログ：q0側　が1024コだから、毎秒20コ送ったとして50秒あれば
　陥落するかなと思ったのね。ちと考えが甘かったか）

ところで652の・の１つめはM=2600じゃなくてN=2600じゃないの？
（FIFOだから、うまいことベラディーの法則が効くとすると、
　呼量 < バックログが成り立つとは思うけど）

netstat-Iの結果は、同一セグメント上のsolaris7で打ったとき、
で1000/sec程度だった。
どぼーんを複数クライアントから実験しないと、
solarisを陥落できない、というのはうまく説明がついてるので、
説明は大筋あってると思われ。（精査してないから大筋、とします　スマソ）
x2.6だから３クライアントからどぼーんやればイイっつーことか。

そこまでおおっぴらにできるかどうか不明だが・・・ちょっと頑張るわ。

> ところで652の・の１つめはM=2600じゃなくてN=2600じゃないの？

いや、M=2600のつもり。
キューの長さが短いと、コネクション確立の確率(言いにくいから、
ここからはコネクション成功確率と書こう)が下がり、
キューの長さが長くなると、コネクション成功確率は上がるわけで、
RTT=1秒、M=1024の場合だと (100%-15%)=85% の成功確率しかないものを、
成功確率99%まで上げるにはどうするかを求めているわけだから、
当然必要なキューの長さは長くなる。

> x2.6だから３クライアントからどぼーんやればイイっつーことか。

いや、LANで試すなら、3クライアントぐらいじゃ症状は出ないと思う。
この成功確率38%(==再送も含めた場合の成功確率85%)っていうのは、
RTT=1秒とかなり長めの場合の話ね。
RTTが短くなれば短くなるほど成功確率は高くなり、SYN flood 障害が
観測できる可能性は減る。RTT=0.5ミリ秒のLAN環境で、成功確率を
90%まで下げるには、20万SYN/秒くらい必要になる。これは100BASE-T
では、そもそも実験すらできないんじゃないかな。

成功確率を下げるには、呼の回数を増やす以外に、RTTを増やすという
手もあって、こっちの方がたぶん簡単だと思う。

> そこまでおおっぴらにできるかどうか不明だが・・・ちょっと頑張るわ。

RTTが関係するのはクライアントとサーバー間だけで、SYN flood attack
をかける側のRTTは関係ないので、実行するのなら、サーバーと
同一LAN環境から SYN flood をかけて、遠方のクライアントからの
接続を試みるのがいいと思う。

>>655
そういえば、某 ML で遅延を簡単に作り出せる箱とかが話題になって
いたけど、この手の実験にも便利に使えそうだね。

サイトへの大量データ攻撃、自動検知し防御・慶大が新技術

　慶応義塾大学の松下温教授らは、インターネットのサイトに大量のデータを送りつけてサービスを不能
　にするサイバー攻撃を防ぐ技術を開発した。
　大量のデータが送られるのを自動的に検知して不正データをせき止め、被害を最小限に抑えるという。
　開発したのはネットワーク上で電話交換機の役割をする中継機器（ルーター）に組み込むプログラム。
　大量のデータが一定時間流れるなど、あらかじめ設定した不正とみなす条件をルーターが検出すると、
　データのあて先と種類などの属性をネットワークの管理コンピューター（サーバー）に送る。サーバーは
　ネット上の全ルーターに属性情報とデータ流入をせき止めるプログラムを送る。ルーターは不正なデータ
　だけをせき止め、通常のデータは通過させる。
　新技術は多数のコンピューターからいっせいにデータを送る大規模攻撃に対して特に威力を発揮する。
　これまではサイトが個別に侵入検知システムを設置していたが、大規模攻撃を防ぐのは難しかった。

　http://it.nikkei.co.jp/it/top/topCh.cfm?id=20020221eimi243121

とのことですが、IP偽装のSYN floodに対しては無力そうですね。

>>657
Smurfとかには有効でしょう。

>>636

> 1. 19日以前は2ch サーバの関係するカーネルのパラメタはデフォルト値が128の
> 　まま放置されていたサーバがあったのではないか。
> tcp_max_syn_backlog 128
> これだけでかなり synflood への耐性が上がる。

これって、linux-2.2 までだと、まずいんじゃない？
linux/net/ipv4/tcp_ipv4.c:tcp_v4_search_req() を読めばわかるけど、
linux-2.2 系って、backlog の検索に linear search を使っているから、
backlog を長くすれば長くするだけ、カーネルのCPU負荷が上がってしまう。

syncookieの計算負荷なんて、たかだか定数コストだけど、linux-2.2 上での
backlog 検索の負荷は、651の用語で書くと O(M*N) だから、syncookie の計
算コストよりも、ずっとカーネルにかかるCPU負荷が大きい。

だから、linux-2.2 系で HTTPサーバーをやっているなら、tcp_max_syn_backlog
は増やさずに、さっさと syncookies にまかせた方がいいと思う。

linux-2.4 系は、ハッシュを使うように変わったから、こっちだと
tcp_max_syn_backlog を増やしてもいいけど。

> syncookieの計算負荷なんて、たかだか定数コストだけど

あ、ちょっと間違えた。
次の行の O(M*N) で N を使っているから、この観点だと、
syncookieの計算負荷は O(N) でした。

もっとも結論は変わらないけど。
SYN flood 攻撃を受けてなくても tcp_max_syn_backlog が溢れてるのなら、
もちろん tcp_max_syn_backlog を増やす必要があるんだけど、
SYN flood 攻撃で溢れるような状況であれば、linux-2.2 だったら
tcp_max_syn_backlog は増やすべきじゃなくて syncookies に任せた方がいい。

なんか283と同じこと言っているだけだな。

>>659
線型に計算量が増えるんなら O(N) だと思うが。

うが、既に訂正された後だったかいな。

名前： 軍事版住民
E-mail：
内容：
あるFRASH見たのですが、８・２５のとき２CHを救ってくれたのは
あなた方だったんですね、まだ２CH歴史も浅い私ですが、尊敬の意をこめてをこめて、

敬礼

>>663
まだやるか？っつーかネタか？春蟲か？
　（おっ、はからずも俳句：季語入り）

　あぁ、なんかあちこちに軍事板住人騙って煽りカキコ&コピペして、
他の板と軍事板を衝突させようと画策してるバカがいるみたい。
　それの新手でしょ。

　こういう人間SYN floodもdropできないもんかなぁディラックの海へ

今だ！666ゲットォォｫｫ！！
￣￣￣￣￣∨￣￣￣　　　　　　　(´´
　　　　 ∧∧　　　）　　　　　　(´⌒(´
　　⊂（ﾟДﾟ⊂⌒｀つ≡≡≡(´⌒;;;≡≡≡
　　　　　　 ￣￣　 (´⌒(´⌒;;
　　　　　　ｽﾞｻﾞｰｰｰｰｰｯ

>>665
マクセルの悪魔どまりだからムリでしょう

>>665
それを言ってしまえば、２ｔ
ニュース速報板で、韓国の掲示板にサイバーテロ
予告をでっち上げ、瞬く間に２ちゃんねる中に広がった事件あったですね。
満州事変みたいなやつですな。アンチ韓国なＮ速厨の火を付けたと。

>668
＞アンチ韓国なＮ速厨の火を付けたと。
アンチ韓国なＮ速厨に火を付けたと。じゃない？

ミスった。
ノートＰＣでカキコなのだが、タッチパネルを殺しておくべきですね。

>670
不便だよねタッチパネル。

>>671
BIOSメニューやコントロールパネルで無効に出来る機種だと
簡単に切れていいね

>>1 itteyoshi

韓国氏ね　　　　　　　　　　　　　　　　

へたれ　　

「monazillaツールと課金及び転送量・鯖負荷問題を考えるスレ」
http://kaba.2ch.net/test/read.cgi/accuse/1016974669/l50
【２ちゃんねるビューア】　巡回機能の巻。Part3
http://pc.2ch.net/test/read.cgi/software/1016905060/l50

この二ヶ所でいま、対策なんかの話をやっています。
お力添えいただける方はお願いします。

>42
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

うわっ誤爆してる…ｳﾂﾀﾞｼﾉｳ

さげ

　(( ∩ )) ﾌﾟﾙﾌﾟﾙﾌﾟﾙ
　　γ'⌒ヽ∧ ∧
　　 し'ゝつ( ﾟДﾟ)つ

とりあえずsageとく

質問させていただきます。
ここの住民が２ＣＨを救ったという話は本当ですか？

>>682 氏ね

>>682
嘘です犬板の住民が救いました。

>>684
その通りです。
http://pc.2ch.net/linux/ へ行ってスレッド立ててください :)

（＾＾）

サムい

（＾＾）

あぼーん

あぼーん

あぼーん

あぼーん

あぼーん

あぼーん

保守

保守はsageでもできますよsage

>>1の韓国2ch攻撃予告から
約二年後に攻撃があったな。すげえ偶然。

それは二回目の攻撃でしょ（F5団

あげ

∧＿∧今だ、700ゲットー
（゜д゜）＿
　⊂＿＿＿＿∪

僕は、コンピュータの難しいことはわかりません。
ただ、ほとんど動物みたいに、何も考えずにインターネットを適度にやってる凡人です。
３流地方私立大学の経済学部生です。

僕は、ただ、このサイトが、便利だし、気楽なので、自然と頻繁に来るようになりました。
主に、車板に行きます。

僕は、何も知らずに、ただカキコんでました。
最初のころは勝手もわからず調子をこいてました。
新参はだまってろと言われ、ムキになったこともありました。

だけど、そんな２ちゃんでの情報交換も、実はこのUNIX板の方々の活躍があったからこそ、と知りました。
僕は、2001年の八月にはまだ２ちゃんねるには来ていませんでした。
だから、当時の危機をリアルタイムでは知りませんでした。

でも、その当時のエピソードを聞くと、それがどれだけの戦いであったかを知り、震えが止まりませんでした。
こんななにも出来ない僕ですが、いわせてください。

ありがとう。
もう3年も経って、しかも無能な学生からですが、心から感謝いたします。

いや、今現在すごい危機なんだが…
お礼とか書いてる場合じゃないよ(｀･ω･´)ｲﾔﾏﾁﾞﾃﾞ

http://qb5.2ch.net/test/read.cgi/operate/1085495276/

test

hosyu

もうこの季節がきましたね。
ありがとうＵＮＩＸ艦隊に敬礼！
http://www.fetica.com/unix.swf

ゴミ捨て

だめ〜