5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SYN Flood●(2chの危機)

1 :七紙:02/02/11 10:33
今回の大規模なトラブルについてUnix板の考える対策はどうでしょう?


韓国攻撃の状況証拠

韓国掲示板(ここで2ちゃん攻撃が扇動されている)
http://bbs.korea.co.kr/cgi-bin/view.cgi?table=business&id=70050770&pos=0&page=1
↑の日本語訳
http://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050770%26pos%3D0%26page%3D1+&x=13&y=9
首相官邸も攻撃目標?
http://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050850%26pos%3D1%26page%3D1&x=17&y=13

夜勤が取っていたログ
http://mentai.2ch.net/test/read.cgi/accuse/1013274655/170-

2 :名無しさん@お腹いっぱい。:02/02/11 10:42
2get

3 :七紙 ◆jFBdJ0g. :02/02/11 10:49

歴史歪曲日本中等教科書検定通過反対 2.23 ネチズン総決起提案

〓 右翼が集まる日本内団体たちのホームページで仮想連座デモを起こそう!!!
※ 日付 : 2月 23日 (土)
※ 時間 : AM 9 :00 / 12 :00 / PM 3 :00 / 6 :00 / 9 :00
(各時刻以後 30分間サーバーがいたむまで..)
※ 標的 : 下のサイト
日本で一番大きくなった掲示板 2チャンネル
http://www.2ch.net
http://kaba.2ch.net/korea/
http://kaba.2ch.net/news2/
http://tmp.2ch.net/asia/
http://choco.2ch.net/news/
http://mentai.2ch.net/china/
http://ton.2ch.net/taiwan/
http://mentai.2ch.net/history/
http://mentai.2ch.net/whis/
http://ex.2ch.net/entrance/
その他にも多く ...

目にもの見せましょう. 韓国ネチズン 150万名が同時に攻めこんで
日本社会の右傾傾向に警鐘を鳴らしましょう!

150万にワラタ


4 :名無しさん@お腹いっぱい。:02/02/11 11:34
フィルタ掛けてハイお終い♪

5 :名無しさん@お腹いっぱい。:02/02/11 12:31
                 ∩
                 | |
                 | |
        ∧_∧   | | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
       ( ´Д`)//< 先生!SYN Floodに対抗するFilterってどうやるんですか?
      /       /   \
     / /|    /       ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  __| | .|    |
  \   ̄ ̄ ̄ ̄ ̄ ̄ ̄\
  ||\             \
  ||\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
  ||  || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
     .||              || 
source address偽造されてるんだから
どうしようもないんじゃ?

6 :名無しさん@お腹いっぱい。:02/02/11 20:18
うむ、>>5の言う通りSYN FloodにFilterで対抗するのは無理だわな。
単純な負荷攻撃だったら、source addressでの接続数の制限を行えるんだけど。

そういや、FreeBSD 4.5Rから使えるようになった
syncache & syncookiesの複合技は、相当強力なSYN Flooding攻撃にも
耐えるって話を本家のメーリングリストで聞いた覚えがあるんだが、
具体的な数値を忘れてしまった。スマソ。

7 :夜勤:02/02/11 20:19
 皆さんはさーん

8 :名無しさん@お腹いっぱい。:02/02/11 20:20
今回の犯人? 2ch攻撃ツール
ttp://home.graffiti.net/bakeratta845/D-born.htm


9 :5:02/02/11 20:21
調べたら、LinuxのSYN Flood対策はiptablesレベルでできるのね。
不勉強ダターヨ。

10 :名無しさん@お腹いっぱい。:02/02/11 20:26
source addressを偽造といっても、
相手が生きている場合は攻撃効果さがる。
てことはsource addressはそれなりにreachableなところだとマズイ。
てことはsource addressが乱数であっても、
攻撃に有用なsource addressは無数にあるわけじゃない。

と思うんだけど間違ってる??

11 :6:02/02/11 20:33
>>9
ん? LinuxのSYN Flood対策って、単なるSYN cookiesじゃなかったっけ?
つーか、どうやったらSYN FloodをFilterで防げるのか、すごく気になる。

12 :名無しさん@お腹いっぱい。:02/02/11 20:33
仕返しの方法を考えて!


13 :名無しさん@お腹いっぱい。:02/02/11 20:36
コリアンって本当に頭悪いね。
だから世界中から嫌われてんだよ。

14 :名無しさん@お腹いっぱい。:02/02/11 20:37
>>12
AFO
>>13
そーゆー問題じゃないって(;´Д`)ハァ…どーしょ…

15 :名無しさん@お腹いっぱい。 :02/02/11 20:47
今めちゃくちゃ遅いけど、これって攻撃受けてんの?全然書きこめない。。。

16 :名無しさん@お腹いっぱい。:02/02/11 20:55
>>15
そゆ事。
遊び半分を含めて何らかのツールを使って攻撃されてると。
規制不能。鯖がとびまくってます

17 : :02/02/11 20:56
2ちゃんねる撲滅プロジェクト支援ツール『D-Born』
これで攻撃されている。

18 :名無しさん@お腹いっぱい。:02/02/11 20:57
>>8 のツールって、任意の鯖を狙えるの?
ウチの鯖が狙われたら・・・ブルブル

19 :16:02/02/11 20:59
>>16
>>17

どうもありがとう。いやですねぇ。世の中物騒で・・・。

20 :名無しさん@お腹いっぱい。:02/02/11 21:08
断続的に 80 閉じてるね。悪いとは思ったが、
# nmap -p 80 pc.2ch.net
やらせてもらった。

21 :名無しさん@お腹いっぱい。:02/02/11 21:10
>20
へ、nmapしてなにがわかるよ。


22 :名無しさん@お腹いっぱい。:02/02/11 21:10
>>18
2ちゃん鯖以外はターゲット指定できない、とかいう話出てた。
俺は試してないから実際は不明だが。

23 :名無しさん@お腹いっぱい。:02/02/11 21:11
テキストファイルに鯖の名前書くだけなので
汎用品として使えるねこれ < D-born
rawソケットつかってるって書いてあるから、
間違いなく生でSYNとか飛ばしてそうな雰囲気ムンムン


24 :名無しさん@お腹いっぱい。:02/02/11 21:12
>>21
そうはいうけどnessus打って診て見るわけにもいかんでしょ


25 :20:02/02/11 21:14
>>21
80/tcp filtered http になってる時があるがなにか?

26 :21:02/02/11 21:15
>24
なにがしりたいの?
*.2ch.net:80 への connectがECONNREFUSEDになるかどうか?

27 :21:02/02/11 21:16
filteredならlistenのバッグログにキューされてるだけ、
refusedならそこからも溢れた
ってだけだろ。


28 :夜勤:02/02/11 21:21
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy
Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy Bankruptcy

29 :救援求む:02/02/11 21:27
2ちゃんねる撲滅プロジェクト支援ツール『D-Born』       
これで今現在、攻撃されている。

30 :名無しさん@お腹いっぱい。:02/02/11 21:28
>>29
コピペカコワルイ

31 :名無しさん@お腹いっぱい。:02/02/11 21:30
んで、SYN Cookies は有効にしてるんですか? あと、常識的なfilter
(192.168.0.0/16 ... の叩き落とし)は? D-Bornのパケット覗きもし
ないで言ってるけど。


32 :名無しさん@お腹いっぱい。:02/02/11 21:35
syn_cookiesは今週中にテスト導入されそう。
d-bornはIPを偽装してport80にSYNパケットを送るツール。
既に何人かが隔離した環境でテストしている。

33 :夜勤:02/02/11 21:36
>>31
please die -- thank you for your consideration

34 :名無しさん@お腹いっぱい。:02/02/11 21:37
つーことは,テストの結果待ち?

35 :名無しさん@お腹いっぱい。:02/02/11 21:37
http://mentai.2ch.net/test/read.cgi/accuse/1013428994/
現スレ

36 :名無しさん@お腹いっぱい。:02/02/11 21:38
>>35
ありがとー 逝ってくるよ

37 :名無しさん@お腹いっぱい。:02/02/11 21:38
>>33
ふーん


38 :夜勤:02/02/11 21:39
You bankruptcy!!

39 :名無しさん@お腹いっぱい。:02/02/11 21:53
DQNなチョンを発見!報告age!

サイバーデモ隊 "アンチジャパン"の高校生たち
http://korea.hanmir.com/ktj.cgi?url=http://kr.dailynews.yahoo.com/pg/yp/20020206/p2020206l0464.00.html

40 :名無しさん@お腹いっぱい。:02/02/11 21:58
パトリオットみたいなツールつかって打ち落としてくれないかな。

サイバー攻撃しているヤツにミサイル一丁


41 :名無しさん@お腹いっぱい。:02/02/11 21:59
>39
s/DQN/童貞/


42 :名無しさん@お腹いっぱい。:02/02/11 22:04
D-Bornウケル
同じ穴のむじなってとこか

43 :名無し君:02/02/11 22:08
ソース偽造SYNアタック。ってさ、根本的に防ぐ方法ないよね。

あるとすれば、
接続業者が、自分のところに割り当てられたアドレス
以外のソースアドレスでの発信はフィルタで叩き落すって
ことくらいしか思い浮かばない。

メールの不正中継みたいに、すべての接続業者が
責任もって対策する必要あるよね。


44 :鋼蟲:02/02/11 22:13
初めまして、ホーです。
UNIXについて、全く知識が無いですけど
ここで出た単語調べまくってりゃなんとかなるかと
甘い考えを持ってきました。
だから、適当に寄生させて頂きます。

45 :名無しさん@お腹いっぱい。:02/02/11 22:14
>>43
もう言い尽くされた感があるな。Ingress/Egress フィルタ。
いくつかの ISP では、既にやってくれてるけど。

46 :名無しさん@お腹いっぱい。:02/02/11 22:15
え〜先に書いておくぞ

この後,>>44(・∀・)カエレ!!
とかいって,荒らさないように!

47 :名無しさん@お腹いっぱい。:02/02/11 22:17
>>45
でも、発信元のISPがやらないとなんともできないね

48 :夜勤:02/02/11 22:19
みなさんはさーん

49 :名無しさん@お腹いっぱい。:02/02/11 22:19
>>45
大学とかヌルイからな・・・
大学回線でやられたら,やばいぞ

50 :名無しさん@お腹いっぱい。:02/02/11 22:23
>49
最近だとW大とかやられまくってたみたいね。



51 : :02/02/11 22:26
で、どうやって回避したんだろね?

52 :名無しさん@お腹いっぱい。:02/02/11 22:28
>>47
たとえばOCNみたいにバカでかいとこだと、同じISP内に大量に
IPがあるわけで、「内側からか、どうか」だけの単純なフィルタじゃ
防げないと思うんだけど、あってる?


53 :名無しさん@お腹いっぱい。:02/02/11 22:29
W大のアドミン来てくれとかいってみるテスト

54 :名無しさん@お腹いっぱい。:02/02/11 22:30
いや、攻撃元になってたってことっしょ。攻撃を受けたのではなくて。


55 :名無しさん@お腹いっぱい。:02/02/11 22:31
がいしゅつだったらスマソ
http://www.zdnet.co.jp/help/tips/linux/l0105.html


56 :名無しさん@お腹いっぱい。:02/02/11 22:32
怒涛のガイシュツっぷりです。


57 :名無しさん@お腹いっぱい。:02/02/11 22:33
>>55
まぁ,導入する方向らしいが・・・
>>32によると

58 :名無しさん@お腹いっぱい。:02/02/11 22:34
>>52
別にそれほど難しい事じゃないよ。
出口でやるのが難しいなら、端のアクセス回線毎にやればいいだけ。
節目節目にはルータがあるんだからさ。
要はISPにやる気があるかどうか。

59 :名無しさん@お腹いっぱい。:02/02/11 22:37
>58
んだね。でもやる気ないね。ウツだ。
法規制でもしてくれとかいってみる試験。


60 :名無しさん@お腹いっぱい。:02/02/11 22:45
またきやがった・・・
防ぐことはできんのか?

61 :名無しさん@お腹いっぱい。:02/02/11 23:02
372 名前:韓国人 投稿日:02/02/11 19:58 ID:em3M55s+
コルァッ!
ttp://bbs.korea.co.kr/の荒し依頼って、機械翻訳使った日本人の書き込みじゃないか!

大変だと思ってたのに…ジザクジエンだったのかよ。


505 名前:韓国人 投稿日:02/02/11 20:30 ID:em3M55s+
>>457
ttp://www.antijap.wo.ro/にも荒し計画はない。

さっき韓国の大型掲示板と反日サイトを回ってきたところだけど、それらしき話は無かった。
まだいくつか残ってるけど、もっと調べてみる。
まあ、閉鎖的コミュニティでこっそりやってるのなら仕方ないけど。

んじゃ。

62 :名無しさん@お腹いっぱい。:02/02/11 23:02
707 名前:韓国人 投稿日:02/02/11 21:27 ID:em3M55s+
おーいっ。みんな無視かよ(涙

どりあえず、
ttp://bbs.korea.co.kr/cgi-bin/view.cgi?table=business&id=70050770&pos=0&page=1
は日韓翻訳機を使ってる。これは日本人の書き込み。
ttp://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050850%26pos%3D1%26page%3D1&x=17&y=13
はよくわからん。翻訳機は使ってない。しかし翻訳体らしいものがある。
韓国語を知ってる日本人か、ただ日本翻訳文体を使う韓国人かよくわからない。
なぜかIPは韓国PROXYだし。

ttp://www.antijap.wo.ro/と、他の反日サイトでもサイバーテロ計画は見えなかった。
韓国の大型掲示板もほとんどチェックしてみたけど、それらしきものは無い。
俺が確認出来るのはここまで。

…韓国人の攻撃ではないことを祈るよ。


819 名前:韓国人 投稿日:02/02/11 22:40 ID:em3M55s+
>>798
>「倭人の右翼が集まるホームページを攻撃して ! 」
>http://korea.hanmir.com/ktj.cgi?url=http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi%3fmode%3dread%26num%3d319%26db%3dvictoriasky01b%26backdepth%3d1

それ、日本人が書き込んでる。
http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi?mode=read&num=319&db=victoriasky01b&backdepth=1
命令形の「攻撃して」は韓国語では「KONG-KYUK-HAE-RA」という。
しかしそこは「KONG-KYUK-HA-GO」になってる。これじゃ連用形の意味。
機械翻訳するとよくこうなる。


63 :名無しさん@お腹いっぱい。:02/02/11 23:08
近隣国を巻き込んだ倭人厨房のジサークかよ…

64 :名無しさん@お腹いっぱい。:02/02/11 23:10
ウニ板より
>>62
> 707 名前:韓国人 投稿日:02/02/11 21:27 ID:em3M55s+
> おーいっ。みんな無視かよ(涙
>
> どりあえず、
> ttp://bbs.korea.co.kr/cgi-bin/view.cgi?table=business&id=70050770&pos=0&page=1
> は日韓翻訳機を使ってる。これは日本人の書き込み。
> ttp://korea.hanmir.com/ktj.cgi?url=bbs.korea.co.kr%2Fcgi-bin%2Fview.cgi%3Ftable%3Dbusiness%26id%3D70050850%26pos%3D1%26page%3D1&x=17&y=13
> はよくわからん。翻訳機は使ってない。しかし翻訳体らしいものがある。
> 韓国語を知ってる日本人か、ただ日本翻訳文体を使う韓国人かよくわからない。
> なぜかIPは韓国PROXYだし。
>
> ttp://www.antijap.wo.ro/と、他の反日サイトでもサイバーテロ計画は見えなかった。
> 韓国の大型掲示板もほとんどチェックしてみたけど、それらしきものは無い。
> 俺が確認出来るのはここまで。
>
> …韓国人の攻撃ではないことを祈るよ。
>
>
> 819 名前:韓国人 投稿日:02/02/11 22:40 ID:em3M55s+
> >>798
> >「倭人の右翼が集まるホームページを攻撃して ! 」
> >http://korea.hanmir.com/ktj.cgi?url=http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi%3fmode%3dread%26num%3d319%26db%3dvictoriasky01b%26backdepth%3d1
>
> それ、日本人が書き込んでる。
> http://board17.cgiserver.dreamx.net/CrazyWWWBoard.cgi?mode=read&num=319&db=victoriasky01b&backdepth=1
> 命令形の「攻撃して」は韓国語では「KONG-KYUK-HAE-RA」という。
> しかしそこは「KONG-KYUK-HA-GO」になってる。これじゃ連用形の意味。
> 機械翻訳するとよくこうなる。
>


65 :64:02/02/11 23:13
すまん、間違えた

66 :名無しさん@お腹いっぱい。:02/02/11 23:14
今回の2ちゃん攻撃事件だが、ポイントは2つある

2ちゃんねると韓国の掲示板をつかって、今回の事件が
韓国からの攻撃だと騒ぎ立てている人

2ちゃん攻撃ツールを作成・配布した(ようにみえる人)が、
「2ちゃんねる撲滅委員会運営委員長 鈴木むねおちゃん」をなのっている

考えられることは、まず、日韓間系が悪くなることをねらっている何者かが、
うまく2ちゃんねるを煽って、全板に嫌韓感情を広めようと裏で動いてるはず
煽られて、韓国からの攻撃とおもって煽られている奴がたくさんいる
とうせ、韓国の掲示板でわざと攻撃予告をしたか、
誰かが攻撃予告したのを利用しただけだろう
この場合、裏で動いてるのはおそらく北朝鮮だろう

しかし、犯人が、「むねおちゃん」って名乗っているのも、関係があるかもしれない
「むねおちゃん」を名乗られることで、おこった鈴木ムネオが、2ちゃんねるに閉鎖圧力を
かけることを期待してるのかもしれない
当然、本気で圧力をかければ、相当影響力があるので、本当に裏から手を回されて閉鎖される可能性が高い
この場合は、北朝鮮だけでなく、2ちゃんねるを潰したい何者かがたくらんでいるだろう
ここまでして潰そうとすることは、特定の個人や企業が告発されてしかけてるんではなくて、
2ちゃんねるの存在によって、世論や社会が自分たちの不利な方向に動くと見ている集団のだれかが
たくらんだものだろう


67 :名無しさん@お腹いっぱい。:02/02/11 23:15
>65
そっくりいただきます(w

68 :名無しさん@お腹いっぱい。:02/02/11 23:15
>>39
そいつら時代背景とか分からんのだろうな。
生まれてなかったんだから(藁

69 :名無しさん@お腹いっぱい。:02/02/11 23:16
特定のIPからじゃないとアクセスできないっていうのは無理なの?
ランダムでくるなら逆に一個しか接続できなくしちゃうの
んで、それようの串を誰かが提供…
って無理か

70 :名無しさん@お腹いっぱい。:02/02/11 23:18
>>69
その串が攻撃されてあぼーん。か普通に負荷で落ちない?

71 :名無しさん@お腹いっぱい。:02/02/11 23:18
>>69
今度はそのproxyが攻撃対象になるだけです

72 :名無しさん@お腹いっぱい。:02/02/11 23:27
報復の準備をせよ

73 :名無しさん@お腹いっぱい。:02/02/11 23:31
>>72
逆に報復されて2chも死ぬからダメ


74 :名無しさん@お腹いっぱい。:02/02/11 23:31
>72
ブッシュ?

75 :名無しさん@お腹いっぱい。:02/02/11 23:34
報復するとしたら攻撃対象はどこになるんだ?

76 :名無しさん@お腹いっぱい。:02/02/11 23:35
>75
アングラ系じゃないの?

77 :zero ◆e9NlGozk :02/02/11 23:36
報復より、柳作戦ですな

78 :名無しさん@お腹いっぱい。:02/02/11 23:37
攻撃対象:>>75のきんたまをロックオンしましたぁっ!!

79 :ザ・グル:02/02/11 23:38
温かく見守りつつ放置の方向でおねがいします。

80 : :02/02/11 23:38
http://choco.2ch.net/test/read.cgi/news/1013431087/

攻撃開始日時決定!

81 : :02/02/11 23:43
ふぁいなるあんさー?・・・正解!>>79

82 :堕女神 ◆mEGAmi6U :02/02/11 23:49
記念カキコ

83 :名無しさん@お腹いっぱい。:02/02/11 23:49
>>80
ねぇ,何か
>UNIX板の有志が立ち上がりました。
とかいってるけど・・・

やるの?俺はやらんぞ

84 :名無しさん@お腹いっぱい。:02/02/11 23:50
>>83
ワラタ
誰だ、んなこと言ってんのは。

85 :名無しさん@お腹いっぱい。:02/02/11 23:51
アンチ2ch、韓国を装い2chに攻撃

それに踊らされた2ちゃんねらーが韓国に報復

待ってましたとばかりに朝日が報道

特集で右翼のレッテル貼り

2ch閉鎖に追い込む

2ちゃんねらー以外全員(゚д゚)ウマー

86 :名無しさん@お腹いっぱい。:02/02/12 00:01

(゚д゚)ウマー

87 :名無しさん@お腹いっぱい。:02/02/12 00:31
(゚д゚)マズー
http://mentai.2ch.net/test/read.cgi/accuse/1013428994/507-n

88 : :02/02/12 00:32
>>85-86
はチョン。

89 : :02/02/12 00:43
問題がこちらに持ち込まれそうな雰囲気

90 : :02/02/12 00:48
>>89
ばれた

91 :名無しさん@Emacs:02/02/12 00:52
厨房は一回さわぎだすとしばらくうるさいからなあ。。

92 :名無しさん@Emacs:02/02/12 00:53
507 名前:夜勤 ★ 投稿日:02/02/12 00:11 ID:???
ここでちょっと。。。

みなさんは、前回の攻撃を覚えているかしら?

519 名前:夜勤 ★ 投稿日:02/02/12 00:13 ID:???
ちゃうちゃう、 bbspink が陥落したときのこと、、、

531 名前:夜勤 ★ 投稿日:02/02/12 00:15 ID:???
その時 実は、syn_cookies いれて見たのだ。

で結果はどうだったかというと、

557 名前:夜勤 ★ 投稿日:02/02/12 00:18 ID:???
一日中誰も見えなくなったとさ。。。

we already tried syn_cookies
it didn't work. Nobody could see bbspink.com

I couldn't see it either, that is when syn_cookies were installed.

http://mentai.2ch.net/test/read.cgi/accuse/1013428994/507-


93 :名無しさん@お腹いっぱい。:02/02/12 00:57
いちいち、何かシステム的な障害があると
すぐ「UNIX板に頼め」って言う発想はやめて欲しいな。

94 :名無しさん@お腹いっぱい。:02/02/12 00:58
UNIX板の方も幻想が崩れて好都合でしょ。
どうせ、何もできないヲタクの集まりと思われていた方が
要らぬ負担をかけられなくて済むし、
敢えてヒーローになりたいとも思わないでしょう。


95 :想像力なしさん:02/02/12 01:06
>>93
syn_floodだから、セキュリティー・linux・通信技術あたりじゃない?

96 :名無しさん@お腹いっぱい。:02/02/12 01:07
699 名前:678 投稿日:02/02/12 00:47 ID:hiqhv052
というよりもunix板はすでに動き始めてる……凄いなぁ
http://pc.2ch.net/test/read.cgi/unix/1013391187/

706 名前: ◆nnmm.69A 投稿日:02/02/12 00:49 ID:u82ZimGf
>>699
http://pc.2ch.net/test/read.cgi/unix/1013391187/83-89
むしろ警戒しているようですが(w

709 名前:心得をよく読みましょう 投稿日:02/02/12 00:50 ID:pLzKQEnp
>>699
そういうデマはやめる!!

714 名前:心得をよく読みましょう 投稿日:02/02/12 00:50 ID:mDa+1Eq6
UNIX板の住人からはウザがられてるじゃん(w

716 名前:zero ◆e9NlGozk 投稿日:02/02/12 00:51 ID:yeswUUqx
>>699
たぶんやらない。
こりたから


97 :名無しさん@お腹いっぱい。:02/02/12 01:12
俺も、linux の syn cookie の実装では、synflood attack に対処できなかっ
たという話は聞いたことがある。

ただ、そこの管理者がそもそも linux 嫌いだったので、この話の信憑性には
かなり難がある。どこか設定を間違えてただけの可能性も高い。

なんで嫌いなのに linux を入れてたかっていうと、上司の命令だったそうな ;-)。
で、synflood 対策でトラブったのを名目にして、昔っから syncache による
対策が施されている NetBSD に速攻で変えて対処してしまったそうな。という
わけで、linux 上での対策を調べるのには、全然気合いを入れていなかった
と思われるので、信憑性に難があるわけね。たとえ syn coookie がうまく
動かなかったのが本当だとしても、実は特定の kernel version が駄目だとか、
そういう話なのかもしれん。

どっちにせよ、2ch の場合、syncache の入った OS に置き換えるってのは、
やっぱ無理なんだよねえ?


98 :名無しさん@Emacs:02/02/12 01:18
Apacheにmod_gzipを入れるのだってあれだけブーブー騒いでたくらいだから、
ましてやOSをや。

99 :名無しさん@お腹いっぱい。:02/02/12 01:20
799 名前:心得をよく読みましょう 投稿日:02/02/12 01:13 ID:z1tjDZC8
なんだそっか。
newbbsmenu.html
を取りに来た時のログから、攻撃者のIPバレバレじゃん。
ださ。

801 名前:心得をよく読みましょう 投稿日:02/02/12 01:15 ID:sJNE+iK5
>>799
なんで?

808 名前:心得をよく読みましょう 投稿日:02/02/12 01:15 ID:z1tjDZC8
>>801
bbs一覧は、きちんとクライアントに返らないと意味無いから、SRC IP偽装できないじゃん。



100 :名無しさん@お腹いっぱい。:02/02/12 01:21
815 名前:夜勤 ★ 投稿日:02/02/12 01:17 ID:???
www サーバの apache の ログ取るように
頼みますかー。


101 :名無しさん@お腹いっぱい。:02/02/12 01:22
814 名前: ◆yC752H3c 投稿日:02/02/12 01:17 ID:oUAsl2AK
newbbsmenu.htmlを取りに行くのは明示的にターゲット
再作成したときだけだよ。
攻撃の実行時間とは無関係。



815 名前:夜勤 ★ 投稿日:02/02/12 01:17 ID:???
www サーバの apache の ログ取るように
頼みますかー。

>>804
そー なんですけどね


102 :名無しさん@お腹いっぱい。:02/02/12 01:22
814 : ◆yC752H3c :02/02/12 01:17 ID:oUAsl2AK
newbbsmenu.htmlを取りに行くのは明示的にターゲット
再作成したときだけだよ。
攻撃の実行時間とは無関係。


103 :名無しさん@お腹いっぱい。:02/02/12 01:23
ログをとりはじめた翌日に鯖のディスクがあふれるに10円。


104 :名無しさん@お腹いっぱい。:02/02/12 01:32
syn cookieが駄目なのはhttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/05.htmlの5/24からリンクされている
http://mail-index.netbsd.org/tech-kern/2001/04/18/0006.html
http://mail-index.netbsd.org/tech-kern/2001/04/18/0011.html
http://mail-index.netbsd.org/tech-kern/2001/04/19/0004.html
ちゃんと設定できれば2ch(http)では有効と思われる。
設定の秘訣みたいのがあるかも知れんから、あとはlinux板だろう。

105 :名無しさん@お腹いっぱい。:02/02/12 01:36
基本的にSyn FloodをWin系でやるには
http://www.infosurge.org/zine/infosurge-20.txt
のSendSyn辺りを参考すればよいのかな?

106 :名無しさん@お腹いっぱい。:02/02/12 01:38
>104
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/05.html#20010524_syn_cache
だね


107 :名無しさん@Emacs:02/02/12 01:39
> ログをとりはじめた翌日に鯖のディスクがあふれるに10円。

おれは当日あふれるに 12円。

108 :名無しさん@お腹いっぱい。:02/02/12 01:41
1日で10ギガ超えるに13円

109 :97:02/02/12 01:47
> ちゃんと設定できれば2ch(http)では有効と思われる。

うん。その筈なんだが、俺が聞いたその話は http だったんだよなあ。
まあ、上で書いたように、そもそもあまり信頼できない話なんだが。


110 :名無しさん@お腹いっぱい。:02/02/12 02:08
ACKの待ち時間を今より短く設定すればどう?

111 :名無しさん:02/02/12 02:11
http://mentai.2ch.net/test/read.cgi/accuse/1013445939/
こちらでいろいろ対策練ってますので、参加したい方はどうぞ。

112 :名無しさん@お腹いっぱい。:02/02/12 02:11
LOG 有効にすると今度は LOG あふれ攻撃が可能なんだが。


113 :想像力なしさん:02/02/12 02:19
>>112
それやるにはIPさらさないといけないでしょ
syn-floodだけなら自分のip晒さずに可能

114 :名無しさん@お腹いっぱい。:02/02/12 02:21
この手の攻撃って、MACを変更できる凶悪NICだったら絶対特定できないんじゃ。。。 >発信元

115 :名無しさん@お腹いっぱい。:02/02/12 02:25
>>114
関係ないです。


116 :名無しさん@お腹いっぱい。:02/02/12 02:33
>>114
なぜ MAC address が関係すると思えるのか、おまえは ISO/OSI の階層モデル
を知っているのかと小一時間問いつめたい。


117 :名無しさん@お腹いっぱい。:02/02/12 02:41
ルータ越えたらMACアドレスは伝わらないから、MACが変更可能かどうかはあま
り関係ない。

そもそもMACアドレスが調べられる状況ならば、攻撃者の存在する末端のルー
タまで特定できている、すなわちそこのISPなりNOCなりの協力が得られている
わけで、そういう状況なら、たとえMACアドレスが変更されていても、物理的
な線を辿れば、攻撃者の特定は可能。

ソースアドレスを偽造した攻撃の場合、確かに攻撃者の特定は難しいが、広域
からのDDoSではなく、手動でやっている少数の攻撃者からのDoSならば、経路
になるISPを順番に辿っていけば、攻撃者を特定することはできる筈。2chの繋
がっているISPにやる気と根気と政治力があれば、この手も使える筈だ。
とりあえず聞いてみるだけならタダだから、ISPに聞いてみるのはどうか。
まあ、でもそういうISPは少ないかもしれん。

ISPに頼らず2chだけで対策するなら、やはりsynflood対策がちゃんと効くOSに
するってのが一番なんだが。
linuxの場合、
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
だけじゃ、駄目なのかのう? > linux に詳しい人

夜勤氏が試してみたってのは、これなんだよな? > そっち方面の人


118 :野郎ども!反撃だ!:02/02/12 02:43
今こそ2ちゃんねらーの総力を結集しろ!

犯人がお前たちと同じプロバを使っていれば、snifferで犯人を特定できるかもしれない。
プロバに割り当てられているIPアドレスを逸脱して2ch鯖IPにパケットを送っているヤツを探すんだ。

プロバに割り当てられているIPアドレスを逸脱して2chにパケットを送っているヤツを特定するsnifferツール、
D-Born Killerの開発を急げ!

犯人を捕まえた奴は神!

119 :名無しさん@お腹いっぱい。:02/02/12 02:54
>>117
syn cookies 導入の結果。
>>92


120 :114:02/02/12 02:56
いめーじしてみる。。。
矢印の間のみルータを超えて渡されるってこと?
(よく考えたら当たり前か。。。)

+-Ethernet-Header-+
+ MAC address,etc +
+-IP-Header------+ <=
+ Source Address,etc+
+----------------+
+ IP Packet      +
+----------------+ <=

121 :名無しさん@お腹いっぱい。:02/02/12 02:59
> 犯人がお前たちと同じプロバを使っていれば、snifferで犯人を特定できる
> かもしれない。

ppp で繋いでいるようなケースだと、そもそも sniffer じゃ見えないだろ。
CATV や ADSL でも、ほとんどの場合は見えないようにしてある筈だ。

大学とかでも、今どきは switch が入っているから、ethernet switch の
モニタポートに繋いで調べるか、対外リンクのある NOCから調べない限り、
分からないだろう。

> プロバに割り当てられているIPアドレスを逸脱して2chにパケットを送って
> いるヤツを特定するsnifferツール、 D-Born Killerの開発を急げ!

別に開発なんてしなくてもUNIX系ならだいたい標準でついてるよ。

tcpdump -e ! src net 自分とこのネットワークアドレス and dst net 64.71

で2欄目にMACアドレスが出てくる。
エンドユーザーならともかく、NOCの人間なら、自分とこのネットワークアド
レスくらい、分かるだろう。


122 :名無しさん@お腹いっぱい。:02/02/12 03:02
>>120
そう。
第一 IP packet が必ずしも ethernet 伝っていくとは考えられんだろ。
modem で PPP のときなんぞ ethernet 関係ないし、光も違うし。


123 :名無しさん@お腹いっぱい。:02/02/12 03:05
パケトdumpしてみたけど、SRC IP完全ランダムだね。
実在するIPも混ざってるのでやっぱIP層でフィルタリングは無理くさ。
synくっきーの実験結果キボン。

124 :名無しさん@お腹いっぱい。:02/02/12 03:07
>>123
実在してても、存在しない IP を filtering するだけでも多少まともにならないか?
実在する host に SYN ACK 返したときに相手が RST 送ってくれればそれだけで多少まともにならないかな?
>>119


125 :名無しさん@お腹いっぱい。:02/02/12 03:09
>>119
> syn cookies 導入の結果。
> >>92

いや、これは読んだが、もし92が正しいなら、linuxステて他のOS試すしかな
いかもしれん。でも、linuxって、世界で一番ユーザーの多いUNIX系OSなんだ
ろ? 本当にこんなにヘタレなの?


126 :名無しさん@お腹いっぱい。:02/02/12 03:16
難しいところだね。
http://www.maido3.com/server/tora/
このスペックでひぃひぃ言ってるんだから
漏れはこんな巨大サイト運営したこと無いからなんとも言えない。

127 :123:02/02/12 03:51
>>124
まぁ、そうかも。

>>125
漏れもそう思う。誰もアクセスできなくなるってのは設定ミスでしょー。
うまく設定すれば、ちゃんと動くんだと思うんだけど、
1.こう設定すると誰もアクセスできなくなる
2.こう設定するとうまくいく
てなのを実験して教えてあげればいいのかなーと。

128 :名無しさん@お腹いっぱい。:02/02/12 03:51
>>125
もうだめだったのか、、
導入テストをする方向って話はウソ?



129 :名無しさん@お腹いっぱい。:02/02/12 03:54
ログをロリって読んでしまった…
逝ってきます

130 :名無しさん@お腹いっぱい。:02/02/12 04:00
> このスペックでひぃひぃ言ってるんだから

syn cookie を入れても、やはり負荷に耐えられなかったというのなら、
確かに駄目かもしれん。

が、92は「syn cookie を有効にしたら bbspink.com にアクセスできなくなった
(有効にしなければ、ある程度はアクセスできた)」とも読めるんだが、どっち
なんだ?

もし後者なら127の言った通り、設定ミスの可能性が高い。


131 :名無しさん@お腹いっぱい。:02/02/12 04:02
結局UNIX板が解決するのか?

132 :名無しさん@お腹いっぱい。 :02/02/12 04:06
んにゃ。このまま2chは解散ということで。

133 :名無しさん@お腹いっぱい。:02/02/12 05:43
また始まったらしい
http://mappy.mobileboat.net/~seek/

134 :名無しさん@お腹いっぱい。:02/02/12 05:47
モウオサマッタ

135 :名無しさん@お腹いっぱい。:02/02/12 06:05
基本的にSyn FloodをWin系でやるには
http://www.infosurge.org/zine/infosurge-20.txt
のSendSyn辺りを参考すればよいのかな?

136 :名無しさん@Emacs:02/02/12 06:13
モウ オサマ

137 :夜勤ニクン:02/02/12 06:23
マタクルッテノ!!ヽ(`Д´)ノ

138 :名無しさん@お腹いっぱい。:02/02/12 09:21
今まで2chってSYNフラッディング喰らってなかったって事か…
そっちのほうが意外だよ。

んでもsyn cookiesも万能じゃないよね。
フラッディング検出してsyn cookiesが発動すればパケットの喪失時に再送ができなくなっちゃう。
接続エラー→アクセス過多→接続エラーの無限ループになる可能性もあるよね。
サーバは落ちなくても、結果的にサイト運営を妨害するという目論見は成功してしまうのでは?

139 :名無しさん@Emacs:02/02/12 13:43
ところでコノタイとるノ syn flood のあとにある ● はなんだa?
日の丸か?

140 :名無しさん@お腹いっぱい。:02/02/12 13:47
>>139
クッキーだよ。Synクッキー。

141 :名無しさん@お腹いっぱい。:02/02/12 14:09

例のD-born配布元ってハクされたのかな?

http://home.graffiti.net/bakeratta845/D-born.htm

142 :名無しさん@お腹いっぱい。:02/02/12 14:26
アフォばっか

143 :名無しさん@お腹いっぱい。:02/02/12 14:49
で、人柱になろうかと思うんだけど、2.2.20 SlackwareでOKですか?

144 :名無しさん@お腹いっぱい。:02/02/12 15:11
>>143
それを試す行為を含めて、人柱と言うのでは?


145 :143:02/02/12 15:14
>>144
kernelとディストリビューション合ってたほうがいいとおもったんだけど。
まいっか。

146 :名無しさん@お腹いっぱい。:02/02/12 16:32
D-Bornはコレを参考してる
http://www.infosurge.org/zine/infosurge-20.txt


147 :名無しさん@お腹いっぱい。:02/02/12 16:45
>>141
ほんとだ、やられたくさいね

まったく教科書問題の時も然り、krには手を焼くね

148 :名無しさん@お腹いっぱい。:02/02/12 16:52
krってなに?

149 :名無しさん@お腹いっぱい。:02/02/12 17:11
Koreaの国コード・二文字形。

150 :名無しさん@お腹いっぱい。:02/02/12 17:31
>>147
はあ?
なんて韓国?
そんない韓国の仕業にしたい?



151 : :02/02/12 19:53
で、解決したの?

152 :めんどくさがりや散:02/02/12 20:01
というか始めに
「韓国の仕業だ」
っていったやつが一番の犯人じゃない?

153 :名無しさん@お腹いっぱい:02/02/12 21:50
じゃ、最初に2chに書かれたレスか
最初に立てられたスレ(↓)を探してみよう。
こんな感じの奴がよそにもあるかな?

★このコピペは本当ですか?★
http://pc.2ch.net/test/read.cgi/unix/1013456802/


154 :名無しさん@お腹いっぱい。:02/02/12 23:34
>>150
・Kr串の使用
・韓国のサイトと連動してた(らしい)
・教科書問題のときなど、「前科」がある
・韓国疑惑説が出ると>>150みたいな韓国擁護派が、すぐに反応する

155 :名無しさん@お腹いっぱい。:02/02/12 23:43
>>154 でも今回は違うと思う。

156 :名無しさん@お腹いっぱい。:02/02/13 00:50
>>154
>・教科書問題のときなど、「前科」がある

結局コレだけだろ? Kr串は2ch攻撃勧誘カキコを韓国サイトに書くのに通しただけだっけ?
韓国がウザイってのはわかるが、
正直、証拠が無くてもとにかく韓国を糾弾ってのは、余りに感情的でやっぱ見ててウザイんよ。

157 :めんどくさがりや散:02/02/13 01:16
>>156
賛成である。
そういう考えが残る限り反日韓国人も減らないとおもわれ

158 :名無しさん@お腹いっぱい。:02/02/13 01:17
38 名前:ゲハ参謀 :02/02/13 01:15
UNIXの皆さんよ。もう今回は何もせんでいいぞ。
結局閉鎖危機乗り越えた後で、果して2chはあの団結力を糧にできたのか。
まったくもって逆である。むしろ厨房が増え、多くの板が荒れている。
今度こそは2chは痛い思いをしなければならない。

159 :154:02/02/13 01:23
>>155-157
オイオイ・・・待てってば・・・なんか話が違う方向に行ってないか?

俺は150がなんで?と聞いたから、
今の次点で判ってる理由を列挙しただけだぞ。

160 :名無しさん@お腹いっぱい。:02/02/13 01:51
韓国人だかなんだかしらんが、それはこの板でやることではないだろ。
この板はクラッカーの所在を技術的に追及することと、SYN Floodからの防衛策
について適当に騙ればよし。語ったところで意味無いと思うけどね。

161 :名無しさん@お腹いっぱい。:02/02/13 02:09
・クラッカーの所在を技術的に追及すること
上位のプロバイダに、どの経路から attack をかけられているのか
教えてもらう
・SYN Floodからの防衛策
OS 側で対処できるのは syn cookies や syn cache ぐらい
あとは上位の provider で attack を遮断してもらう

んで、夜勤は syn cookies の設定すらできないんでしょ。

162 :名無しさん@お腹いっぱい。:02/02/13 02:39
>>160
技術的に追求できねーっての
知らない人間が好き放題書きたい放題書くな。
誰からHIVうつされたのか?
ってな問題の百万倍面倒なんだぞ

163 :名無しさん@お腹いっぱい。:02/02/13 03:08
DDoSは多数のホストを踏み台にするけど、
SYN floodって攻撃元の数がそれほど多くなくても
十分な効果ってあるんでしょうか。
今回の場合は攻撃元の数は実のところどれくらいだったんだろう


164 :名無しさん@お腹いっぱい。:02/02/13 03:21
>>163
それを把握するには、きちんとプロバイダと協力して、src が改竄された
パケットがどこから飛んできたのかを調べる必要があるわけで。

165 :143:02/02/13 03:27
2.2.29 Slackware 8.0 VitualPCにインストール(1032BogoMIPS)して、
100Mスイッチで繋いだ他のマシンからやってみたけど、
デフォでは開始直後80に確立せず。終了後もしばらく確立できない。
で、攻撃中に
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
すると、すぐ確立できるようになるのね。
数分ほっといたけど、最大load2.0くらい。/var/log/messagesには
Feb 13 01:20:33 鯖名 kernel: possible SYN flooding on port 80. Sending cookies
てでるのね。

なんかうまくいってるっぽいけど、前回誰もアクセスできなくなったのは何故?
kernelの違いなのかね。

166 :名無しさん@Emacs:02/02/13 03:31
これでますます夜勤ヘタレ説が濃厚になるような気が

167 :名無しさん@お腹いっぱい。:02/02/13 06:20
しないよ

168 :名無しさん@お腹いっぱい。:02/02/13 09:11
>>155-157,160
みたいなのが来るようになったって事が一番の害だな。
サヨクや朝鮮人は利用できないとなると徹底的に叩きにかかる。

169 :名無しさん@お腹いっぱい。:02/02/13 14:33
>韓国のサイトと連動してた

これは2ちゃんねらの自作自演だろうが!
>>64読んでみ。

170 :名無しさん@お腹いっぱい。:02/02/13 16:27
日本語が話せて、証拠がなければ何だってやれる連中なんてかなり限られる。
しかも声がでかいとなればなおさらだね。

171 :初期不良:02/02/13 16:31
>>168-170
誰がやったかなんてどうでもいいだろが...

172 :名無しさん@お腹いっぱい。:02/02/13 17:42
なんで韓国人のせいにしたがってんだよw
仕掛けた人ですか?
攻撃自体は2ちゃんねらにやらせてんでしょ
どぼ〜んでさ
なかなか巧妙というか、悪質だわな

173 :名無しさん@お腹いっぱい。:02/02/13 17:42
何もできない自分がすげぇ悔しいんですが(別にヒーローになるつもりはないっつーか無理)。
この攻撃について勉強したいので、参考になる書籍があれば教えてください。


174 :名無しさん@お腹いっぱい。:02/02/13 17:55
★ pc.2ch.net ヽ(*`Д´)ノゴルァ

pc鯖も攻撃されている。ムカムカムカムカ。


175 :名無しさん@お腹いっぱい。:02/02/13 18:00
> ヽ(*`Д´)ノゴルァdj! 23鯖 (・∀・)イイ! 9鯖でした。
うひぃ。




176 :名無しさん:02/02/13 18:32
とうとう批判要望も移転したな。

177 :アヒャヒャヒャ〜:02/02/13 18:35
>>172
どぼ〜ん使用者の揺動だろ。
「漏れじゃないよ〜」ってね。

178 :名無しさん@お腹いっぱい。:02/02/13 20:00
鯖移転すれば、全ログ取れるだろ。旧アドレスで。

179 :名無しさん@お腹いっぱい。:02/02/13 20:51
韓国人かどうかはともかく
早急に対策を講じようよ。
夜勤さんにも頑張ってもらわないと…

180 ::02/02/13 20:53
ip偽装ってそんなに追跡不可なのですか

181 :名無しさん@お腹いっぱい。:02/02/13 20:58
>>180
やったやつの実力による

182 :anonymous:02/02/13 21:14
>>180
ルータのログを辿れば行きつける。
だが、実際は辿れないから分からない。
以上。

183 :名無しさん@お腹いっぱい。:02/02/13 21:34
このスレもうそろそろ批判要望板に移さんか?

184 :名無しさん@お腹いっぱい。:02/02/13 21:43
>183
オイスターの時ですら延々この板で続けやがったし無理だろ。

185 :名無し君:02/02/13 21:46
>>180
一応言っとくと、
IP偽装してネットサーフィンとかはできないよ。

WEBページ書き換えとかのクラッキングは
ニコニコ握手してから、相手を犯す犯罪。

今回のは、こんにちはと握手を求めておいて、
相手がよろしくと手を差し出してきたら無視。
の繰り返しで相手をパニクらせるという犯罪です。

握手を完全に交わしてないから、相手の素性もわかならいってことですわ。

ところで、ルータでそんなに詳しくログなんてとってる? >>182
/23割り当てられてるけどなーんも取ってない。


186 :と言ってみるテスト:02/02/13 21:48
>>180
実は、中継ルータうんぬんより、ISPのIDSに簡単にひっかかって、即バレの危険が・・・


187 :?:02/02/13 22:00
>>181さま
>>182さま
>>185さま
>>186さま
コメントありがとうございます。ど素人でございます。
サーバーを立てて中韓方面よりのあまりの狼籍に、驚きのあまり
この度のわが2chの不幸を我がことのことと憤り書かせて頂きまい。

188 :名無しさん@お腹いっぱい。:02/02/13 22:07
ルータは、全パケットのログなんて、普通はとりませんな。

RFC2267で推奨されるようなingress filteringを行っているISPやNOCなら、
filteringのログに残る可能性もあるけど。ただ、この場合、そもそもフィルタ
に引っかかるので、2chへのDoS攻撃にはなってない筈。
(やっている本人は、DoSしているつもりなんだが、フィルタで引っかかるため、
2chまでは届かない。で、ISPやNOCには、DoSしていることがバレバレになる。)

全部のISPやNOCが、ここにあるフィルタリングをやってくれてれば世の中平和
なんだが、そうでもないところが悲しいところ。

> サーバーを立てて中韓方面よりのあまりの狼籍に、

まだ馬鹿がいるようだな。UNIXとは全然関係ない話題なので、右翼は右翼用の
板で独り言を言ってて欲しいよ。


189 :名無しさん@お腹いっぱい。:02/02/13 22:08
namedのログからアドレスを引きにきた大元のIPってわからないの?
デバッグログ吐かせても他のDNSが中継されると無理?


190 :?:02/02/13 22:13
>>188
私は馬鹿ではありませんしUNIXと関係なくはありません。
今は快調です。不正中継もありません。さようなら

191 :名無しさん@お腹いっぱい。:02/02/13 22:22

デムパ?

192 :名無しさん@お腹いっぱい。:02/02/13 22:38
電波法違反でタイーホします。

193 :名無しさん@お腹いっぱい。:02/02/13 22:46
>189
namedなんて引きに行くか?
引いたら足がつくし遅くなるし。
俺が攻撃側だったら最初に調べといて生IPでつなぎにいくけど。

194 :名無しさん@お腹いっぱい。:02/02/13 22:47
ルータなんかでログ取らないでしょ。
ルータの故障ログやリジェクトログならともかく、通過したやつのログという
かトレースなんかとってたら処理がのろくなってたまらんよ。




195 :名無しさん@お腹いっぱい。:02/02/13 22:48
>>193
漏れもそうすると思うが、あれはそうしないのねー。
毎回必ずきっちりと。

196 :名無しさん@お腹いっぱい。:02/02/13 22:56
>>193
いや、どぼーんが一発目に…


197 :名無しさん@お腹いっぱい。:02/02/13 22:58
>>196
それをどうやって見分ける?

198 :名無しさん@お腹いっぱい。:02/02/13 23:01
>>197
デフォルトターゲットの並び順と攻撃開始直前のタイミングからゴニョゴニョ


199 :名無しさん@お腹いっぱい。:02/02/13 23:01
>>194
今、なんか2ちゃん遅いけど。

200 :名無しさん@お腹いっぱい。:02/02/13 23:20
設定変えるよりも、IPSと協力する方向ではどうだろう。
IPSも、srcが偽造されたパケット流したとなれば、プロとして恥だろう。

LinuxやBSDなら、あの手のツールは簡単に作れるだろう。
というか、以前社内用に作った。

201 :200:02/02/13 23:22
IPS -> ISP
何やってんだ

202 :名無しさん@お腹いっぱい。:02/02/13 23:25
>>193
hostsファイル用意して、やったよ。

203 :名無しさん@お腹いっぱい。:02/02/13 23:28
>>202
攻撃したのか?


204 :名無しさん@Emacs:02/02/14 00:12
相手がSYN floodだってわかってるなら、全パケットダンプ監視も大変だろうから
SYN watch使うと良いよ。とりあえず、監視用に

http://www.niksula.cs.hut.fi/~dforsber/synflood/programs/SYNWatch.tar.gz


205 :想像力なしさん:02/02/14 00:18
>>204
つーか、そんなもんつかわんでも、syslogみたらわかるだろ

206 :名無しさん@お腹いっぱい。:02/02/14 00:37
>>193
ガキ向けのおきらくツールだったら
たぶん生IPでやんないでしょ

207 :名無しさん@お腹いっぱい。:02/02/14 00:40
>>203
昨晩のうちに飽きた。
フレッツISDNで全サーバー相手に5分間実行だと、
せいぜい4サーバーぐらい。

208 :名無しさん@お腹いっぱい。:02/02/14 00:42
>>207の続き。
たぶん、古いダイヤルアップルータがボトルネックかな。

209 :名無しさん@お腹いっぱい。:02/02/14 00:45
>>207 タイーホage

210 :名無しさん@お腹いっぱい。:02/02/14 00:49
>>208の続き
この程度の回線、能力で効果があるのには驚いた。

211 :名無しさん:02/02/14 00:50
>>207
通報しますた

212 :名無しさん@お腹いっぱい。:02/02/14 01:03
>>207
メール縞した

213 :名無しさん@お腹いっぱい。:02/02/14 01:04
よし!逮捕だ!

214 :名無しさん@お腹いっぱい。:02/02/14 01:06
確保汁!

215 :名無しさん@お腹いっぱい。:02/02/14 02:49
>>194
素人質問で申し訳ないのですが
ルータでログを取らないとなると
どこでログを取るのでしょうか?
ログを取るマシンをどこに?

216 :名無しさん@お腹いっぱい。:02/02/14 03:31
>>207
いまログ取ってるらしいんだけどな。
警告として晒しあげられるかもな。

217 :名無しさん@お腹いっぱい。:02/02/14 04:34
2chはそんなめんどうなことしないよ。
みんなが忘れた頃(数ヶ月後)に
>>207の家に警察がやってくるだけ。
yahooタイーホの件もそうだったしね。

218 :名無しさん@お腹いっぱい。:02/02/14 04:36
>>202
それって、DNS鯖設定とWINS鯖設定外してやったのか?


219 :名無しさん@お腹いっぱい。:02/02/14 10:19
1 名前:夜勤 ★ 投稿日:02/02/14 01:04 ID:???
なんと、続々とお腹いっぱいなサーバが、

school 99%使用中(cheese , cocoa)
natto 96%使用中
mentai 92%使用中
yasai 88%使用中

ハードディスク買わなきゃ、

14 名前:夜勤 ★ 投稿日:02/02/14 01:15 ID:???
う〜ん
school (cheese,cocoa) の書き込みとめなきゃ。。。

19 名前:夜勤 ★ 投稿日:02/02/14 01:31 ID:???
あっ 単位が。。。
x 1024 して下さいー

18GB ですー


20 名前: 投稿日:02/02/14 01:32 ID:4GkoyxJf
   Bytes Used 残り
  school 17081711 16063965 128149 99%使用中。。。
  natto 17074005 15572697 612112 96%使用中。。。
  mentai 17074005 14839649 1345160 92%使用中。。。
  yasai 17074005 14319174 1865635 88%使用中。。。

23 名前:夜勤 ★ 投稿日:02/02/14 01:34 ID:???
もう 二年も前のサーバのスペックですから、
ご老体です。 (CPUもRAMも)

29 名前:夜勤 ★ 投稿日:02/02/14 01:41 ID:???
今 HD注文したので、
ストックがあれば、すぐにもですが、
いつになるか、まだ わかってないです。

36G (10,000rpm) を四台注文しました。
回転数上がるから、ちょっと早くなるかもです。(期待)

http://qb.2ch.net/test/read.cgi/accuse/1013616274/

220 :名無しさん@お腹いっぱい。:02/02/14 12:21
HD追加することはできる(ってことはハードには触れるわけだ。つまり)のに、
なぜOSの方はいじれないのか問い詰めたい。うちなら逆。


221 :名無しさん@お腹いっぱい。:02/02/14 12:28
>>215

ここでログを取る取らないと言ってるのは、BigServerの話じゃなくて、
そこまでパケットを運ぶ、中間のISPや、一般ユーザーサイドのISPの話。
そういうとこでは、普通は正規のパケットはログにとらなくて、異常な
パケットだけIDSとかpacket filterのログに取るの。


222 :名無しさん@お腹いっぱい。:02/02/14 12:53
素人にマジレス必要無し

223 :名無しさん@navi2ch:02/02/14 12:54
>>220
問い詰めるまでもなくこのスレと板を読んでいけば答えが見つかるような気が。


224 :名無しさん@navi2ch:02/02/14 13:01
それよりも俺の場合はディスクがお腹いっぱいになるまで
なぜ気付かなかったのかを問い詰めたい。
普通は日々の作業の一環でディスクの残り容量をチェックして
80%を超えたあたりで必要とあればディスク増設を検討する
(必要があればすぐ発注)けど。

あわせて、ディスクがお腹いっぱいになったからといって
何も考えずあっさり増設する必要性が果たしてあるのかどうかも問い詰めたい。
実はエラーログとかを移せば解決するというオチがありそうな気が。


225 :名無しさん@navi2ch:02/02/14 13:55
だんだんと1ch.tvの恥行を笑えなくなってきたね(w

02/14 school,cheese,cocoa は書き込みできません。
   今、ハードディスク買いに行ってます。



226 :名無しさん@Emacs:02/02/14 14:42
オレは 2ch のこの素人っぽさが好きだけどなあ

227 :名無しさん@お腹いっぱい。:02/02/14 14:48
d-born.zip アプしてくれ。

228 :名無しさん@お腹いっぱい。:02/02/14 15:08
韓国掲示板におけるテロ予告は、ニュー速厨によるでっち上げの模様。

トンドルわけだが(djわけだが)
http://choco.2ch.net/news/kako/1013/10131/1013122788.html

8日テロの書き込みは、上の377(ID:J/BOVv0+)によって初めて2chに公開
されたみたいだが、投稿時間から377の書き込みまで8分のタイムラグしかなく、
しかも以降のJ/BOVv0+のレスに注目すれば、自作自演であることが判る。
つーかアホ確定。

余談までに、704と728は実はわしのレスなのだが、ホントにツールがあった
とは…。(UNIXではなくWindowsのプログラムってのは意外だった)

つーか、727は一体ナニモノ?

229 :名無しさん@お腹いっぱい。:02/02/14 15:23
すまん、でっち上げだって証拠に関しては、ニュー速板の奴等が暴露してた
文章をのそのまんまパクった。
ニュー速厨もアホばっかしじゃないんだなと思いつつ、スレにリアルタイム
で居ながら単純な落ちに気づかなかったワシもアホだと思った。

230 : :02/02/14 15:35
>オレは 2ch のこの素人っぽさが好きだけどなあ

漏れも漏れも。ウソをウソと見抜けない人は…

231 :名無しさん@お腹いっぱい。:02/02/14 15:37
>>227
漏れも落としたが、やらん。

232 :名無しさん@お腹いっぱい:02/02/14 15:39
>>188
質問良いですか?基本的にPCから出ていくパケットは
ISPから貰うアドレスになりますよね?

192.168.0.0/16のISPのインターネットに繋がっている
ルーターを仮に192.168.1.1だとすれば、そのISPから
外に向かって出ていくパケットは192.168.0.0/16に
なると思うんです。

だとすれば、192.168.1.1のルーターは外行きのパケットで
ISPのアドレスでない物はブロックするのが当然だと思う
のですがどうなのでしょう?

ひょっとして古い慣習における「性善説」のせいですか?

あとで時間取ってRFC2267をゆっくり読みますので、
現状のISPは対応していないとか、>>232 は何か勘違い
していないか?とかのツッコミなどお前らどうかご教授
ください。

233 :名無しさん@お腹いっぱい。:02/02/14 15:48
>>232
RFC2267 読んでね。

234 :名無しさん@お腹いっぱい。:02/02/14 15:49
>>233
RFC読んでねで解決するなら、最初から質問してないと思うんだがな。
煽りにしてもヘタすぎ。不快だ。

235 :名無しさん@お腹いっぱい。:02/02/14 15:50
d-born.zip アプしてくれ。

236 :名無しさん@お腹いっぱい。:02/02/14 16:10
http://saki.2ch.net/test/read.cgi/nntp/1013274590/l50
ここ。。>>235

237 :名無しさん@お腹いっぱい。:02/02/14 16:12
>>234
じゃぁ答えてあげて。

238 :名無しさん@お腹いっぱい:02/02/14 16:14
まとめると、
http://www.jpcert.or.jp/ed/2000/ed000008.txt より
例えば、RFC 2267 [7] では、IP アドレスの詐称を防止するため、ISP にお
けるパケットフィルタリングに関する提案が行なわれています。すなわち、
ISP の側で、ある顧客に割り当てられていないアドレスを詐称するパケットの
受け入れを拒否するという考え方です。

とか書かれていたり。

そのものの日本語訳は
http://isl.educ.fukushima-u.ac.jp/~shinoda/net-docs/rfc/rfc2267-j.txt
とかにあったり。

239 :名無しさん:02/02/14 16:52
>>220
> HD追加することはできる(ってことはハードには触れるわけだ。つまり)のに、
アフォ?


240 :名無しさん@お腹いっぱい。:02/02/14 18:40
>>220
疑問を持つところまでは ok だ、
で、なぜだと思う? そこを考えてみればどうかな。

241 :名無しさん@お腹いっぱい。:02/02/14 18:58
d-born.zip アプしてくれ。

242 :232:02/02/14 19:11
>>233 で、現状ではどうなんですか?
日本のISPで対応している所はあったり
するのですか?っつーかあなた >>234
の言うとおりですか?

243 :名無しさん@お腹いっぱい。:02/02/14 19:21
>>242
QTNet は対応してたな。おそらく TTNet 系は皆やってると思う。

244 :名無しさん@お腹いっぱい。:02/02/14 19:40
d-born.zip再配布希望します。

245 :名無しさん@お腹いっぱい。:02/02/14 20:11
>>244
特製ハク版が出るまで待ってください。

246 :名無し:02/02/14 20:26
つーか、マジカキコすると
TCP/IPに品質だの信頼性だのを求めるのはどうかと思うよ。
そもそも、"何があってもとりあえず繋がる"ってのが売りでしょ?
品質を失っても低コストで運用できるという利点を得たから
ここまで普及したわけで。
2chの鯖だって、攻撃受けてもなんとか動いてるんだし。
というわけで、
TCP/IPは低コストで使えるが、低品質という諸刃の剣(trade off)。
素人にはお薦めできない(藁
まぁ、お前ら素人はftpだのtelnetだのuucpでマターリ
してなさいってこった(藁
ネットワーク通の間で流行ってるのはATM…(以下略

247 :名無しさん@お腹いっぱい:02/02/14 20:48
UDPは置いてけぼりかよ(藁

248 :名無しさん@お腹いっぱい。:02/02/14 20:56
>246
アフォ?


249 :名無しさん@お腹いっぱい。:02/02/14 21:00
まぁ246みたいなド厨房は銀行からお金を引き出したり戦車を攻撃したりしてなさいってこった。


250 :名無しさん@お腹いっぱい。:02/02/14 21:02
>>246

> TCP/IPに品質だの信頼性だのを求めるのはどうかと思うよ。

でも、この問題に関しては問題回避の手段はあるんだし
知ってて使わないならそれもどうかと。

> ftpだのtelnetだの(以下略)

レイヤが違うような気がする。




251 :名無しさん@お腹いっぱい。 :02/02/14 21:09
ATM = Asyncronous Transfer Mode
銀行とは関係ないのれす…(藁

252 :名無しさん@お腹いっぱい。:02/02/14 21:12
ネタにマジレスかっこ悪い

253 :249:02/02/14 21:13
>251
ボケにつっこんでどうすんだよ…


254 :249:02/02/14 21:14
しかも綴りがちげーよ(わら


255 :259:02/02/14 21:15
>>253
スマソ…(鬱

256 :名無しさん@お腹いっぱい。 :02/02/14 21:17
>>254
鬱市。


257 :名無しさん@お腹いっぱい。:02/02/14 21:19
>>255 (259?)
未来から来るなYO!


258 :名無しさん@お腹いっぱい。:02/02/14 21:20
Anti-Tank Missile


259 :名無しさん@お腹いっぱい。:02/02/14 21:24
>>258
板違いです。


260 :名無しさん@お腹いっぱい。:02/02/14 21:29
  ∧_∧  カタ      / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  ( ´∀`)__カタ___ _< このスレなかなか(・∀・)イイ!
  ( つ_ || ̄ ̄ ̄ ̄ ̄| \_____________
     |\.|| SOTEC |
     '\,,|==========|




261 :名無しさん@お腹いっぱい。:02/02/14 21:32
ここは ATM マンセー派が占拠しました。全ては B-ISDN の理想のために!

262 :名無しさん@お腹いっぱい。:02/02/14 21:35
つまりプロバイダ板に持っていけということでしょうか

263 :名無しさん@お腹いっぱい。:02/02/14 21:44
                                /
        \             ∧_∧    /
          \          /( ´Д` )   /          ./
           \      ⊂/\__〕 ヽ  /         ./
             \    ./丶2    |Σノ /┌(;゚Д゚ )  ./
              /\  / //7ゝ〇 ノ\  /≡/\丿>/
        ∧_∧ / /.\ ///⌒γノ/___)./ ≡\/≡/ __
○   /⌒(;´Д` )/ /○ .\/  ///ノ   /  /  / ./ 巛 \
 \ / / /ヘ∇ヘ_|. //   \///    /     ./  | |[]-[]| |         
    \,ヘ .l⌒l⌒l, ヘ/   |\/\/\//  /    \| Д |/
   l二/\!, '⌒ヽ|,.'\二l   >     糞 〈 /   / ̄`-==-' ̄\
       (人Ξ ノ)     <      ス >   / ,イ/ ̄ ̄\ト \
      ○巛巛○      >  予  レ <   (m / ̄ ̄ ̄ ̄.\m
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄<     の > ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
    ノノノノ           >  感    < .\        d_b
   ( ゚∋゚)          <  !!   \  \      (゚皿゚  )
  /⌒\/⌒ヽ_______     //\/\/ ̄    \  / ⌒〇二\⌒⌒ 
 | ̄⌒\ 彡ノ_   |    /__    |       \ ─) ⌒ヘ◎>) ─ 彡
 |_________\_|__ 丿____|  ./_|__|_  |    ∧_∧\// \=(_) // 
/_____________\彡ノ________ /   ( ::)゚∀⊇  .|   ( ´ε `) .\\ |(○|(γ⌒ゝ´ 
 ‖      \ヽ   ./    /(⌒───|  (∧∧)⊂)   \| ──二(◎) |l 
         ヽミ  /      | ` ̄| ̄ ̄ .|  .|ΘΘ| ノ     \    ゝ_ノ  
           ./ \     |ニ二{]    | (_|;  /_)      \
         ./   \! ̄ ̄i ∨__ ̄ヽ/| ヘД/ヽ         .\
        /    /二二\( iii iii>\ \ |(    )
                           |  




264 :名無しさん@お腹いっぱい。:02/02/14 22:05
 ヵっぉ

       ぉゃっょ

265 :名無しさん@お腹いっぱい。:02/02/14 22:05
軍事板でも金融板でもなんでもいいです

266 :名無しさん@お腹いっぱい。:02/02/14 22:29
そのとーり!
2chに対SYN Flooding対策を施すよう迫る・詰め寄る・脅迫する
のはどうかと思うけど、進言するくらいなら怒られない?

267 :名無しさん@XEmacs:02/02/14 22:35
つかやる気があればもうこの板 Check してるさ.
それを公に言う言わない,実行するしないは別として.


268 :266:02/02/14 23:28
あ、見つけやすいようにageといたほうがいんでしょか?

269 :名無しさん@お腹いっぱい。:02/02/14 23:37
夜勤は、わからないときにはただおろおろするけど、
分かりだしたり、自分のスキルで何とかなりそうだと思うや、
いきなり傲岸になって人の話聞かなくなるからな。

270 :266:02/02/14 23:40
むむー。
ということは、今はなんとかなりそうな気配なんでしょうかー。

271 :名無しさん@お腹いっぱい。:02/02/15 01:48
>>269
んで、わかった気になって、間違ったこと言い出すのがね〜。
PHP は落ちるだとか、Linux の syn cookies を使うとアクセス不能になるとか。

272 :266,165:02/02/15 02:19
とりあえず Linux の syn cookies はアクセス不能にならないっすよー。
2.2.29 kernel で、しかも実機じゃない環境でしか試してないすけど。

でも昨日あたりから、あんま重くない。
どっちかっつーと、80番チェックとHDD問題のほうがトレンドなのね。

273 :272:02/02/15 02:32
>>272の前半は夜勤さんに捧ぐです。

274 :731:02/02/15 02:41
>>269 >>271
そうじゃないプログラマって会った事ないんだけど

275 :名無しさん@お腹いっぱい。:02/02/15 04:05
>271
Linuxのsyn cookiesでアクセス不能は
夜勤さんじゃない人たちが実験した結果として
紹介してた話なんだけど、そのへん把握してる?

>>272
それは約50万PV/dayぐらいの環境で試した結果ですか?

たしかにアクセス殺到がsyn cookiesで規制されちゃうのも
変な感じはするけどね。漏れにはよくわからん。

276 : ◆eTmdVjfs :02/02/15 05:56
syn cookies って CPU ぱぅわーを喰うからね。
アクセスがあまりに多いと、CPU が音を上げるかも。


277 :名無しさん@お腹いっぱい。:02/02/15 06:31
Linux (に限らず他のOSもそうだろうけど) の syncookies は常に
動作しているわけじゃなくて、SYN のバックログが半分以上溜ると
syncookies に切り替わる。syncookies はCPU負荷が高くなるからだ。
常にバックログがあり /proc/sys/net/ipv4/tcp_max_syn_backlog
の半分を越えてる状況だと、syncookies でかえって CPU 負荷が
上るという事はあるかもしれん。ちなみに 2.2 カーネルだと
tcp_max_syn_backlog のデフォルトは固定で 128。小さいな。
2.4 カーネルだとメモリの容量に応じて 128〜1024 になる。
syncookies を有効にする前にこの値を豪快に増やすべきだろう。

また、SYNACK のリトライ回数を減らすのも効果がある。
2.2 カーネルでは通常の TCP のリトライ回数と同じで 7 だが、
これは /proc/sys/net/ipv4/tcp_retries1 で変えられる。
2.4 カーネルでは /proc/sys/net/ipv4/tcp_synack_retries で
SYNACK のリトライ回数だけを設定出来る。デフォルトは 5 だ。

勘違いがあったら指摘してくれると嬉しい。

278 :想像力なしさん:02/02/15 07:21
>>272
>2.2.29 kernel で、
そんなバージョンのカーネルでてないぞ

279 :名無しさん@Emacs:02/02/15 07:39
>>277をこのスレ一番の有用レスに認定。他のはゴミ。

280 :名無しさん@お腹いっぱい。:02/02/15 08:07
解決方法は、もうわかったよ。
攻撃してきたホストの特定が無理なのもわかったよ。

で、あとはなに話す?
もうネタないよ。終了でいいな?

281 : :02/02/15 08:20
>>274
出会いが悪かったと言うほか無いなぁ。。
ちゃんとした人も居るには居るんだが。



282 :名無しさん@お腹いっぱい。:02/02/15 09:36
>>281
たぶん >>274 には
「HAHA! 確かに274の言うとおりだ」
とアメリカンなノリで返すのが一番かと。

283 :名無しさん@お腹いっぱい。:02/02/15 09:57
>>277
> 勘違いがあったら指摘してくれると嬉しい。

syncookies が初期状態では動作してない理由は、104で指摘されている
問題の方が大きいんじゃないかな。

syncookiesが動作しだすと、TCPの状態遷移の仕様を守らなくなるため、104
にあるようにSMTPのようなプロトコルでは、コネクション開設時にハングアッ
プしてしまう(2chはHTTPだから問題ないが)。synfloodattackされてな
いのに、こんな動作じゃ困るだろう。だから、初期状態では動作してないし、
デフォールトのカーネルでは有効になってないことも多いんじゃないか。syn
cacheには、この問題がないから、デフォールトで動作させているんだろう。

あと、SYNACKのリトライ回数を減らしてみるのは賛成だが、synfloodattack
を受けているのが分かっているのなら、tcp_max_syn_backlogは、増やさない
方がかえって良いと思うんだがどうか?
attackを受けてない間は問題なく接続できているということは、通常時は
tcp_max_syn_backlog自体は溢れてないということだ。ということは、下手に
tcp_max_syn_backlogを増やすのは、syncookiesの発動が遅れるだけの効果
しかないんじゃないのか?
通常時ならともかく、synfloodattackを受けている間は、syncookiesに必
要なCPU負荷よりも、コネクション開設処理にかかるCPU負荷の方が確実に
高いと思う。とすると、syncookiesの発動を遅らせるのは、かえってCPU負
荷を上げることにしかならん。synflood下では、コネクション開設処理にか
かるカーネルのメモリ負荷も馬鹿にならんし。


284 :283:02/02/15 10:03
あ、これは「パケット損失が起きると、コネクション開設時にハングアップし
てしまうことがある」に訂正。


285 :272:02/02/15 10:20
>>278
あ、スンマソン。
2.2.19でした。
ハズカスイ。

286 :名無しさん@お腹いっぱい。:02/02/15 14:36
>>283
レスありがとう。指摘されている点は全くその通りだ。
SYN バックログを増やす事は syncookies の発動を遅らせるのが目的。
これと synack の回数を減らすのとを組み合わせれば、syncookie の
発動を回避できるではと期待したんだが、もちろんメモリが充分にあ
るのが前提。DDoS のようにドバァと SYN が来てる状況では効果ない
が、古典的な SYN flood 攻撃のようにポロンポロンと SYN がやって
くる状況なら耐えて動くようにチューニングできる。
2.2 のデフォルトの 128 は 2ch には小さすぎだと思わないか? 攻撃
されてなくてもアクセス殺到だけで syncookies が発動してしまう。

287 :名無しさん@お腹いっぱい。:02/02/15 15:45
D-Bornのサイトが開設されたのが「Sat, 09 Feb 2002 18:31:54 +0800」
でも、2chが攻撃を受け始めたのは8日の早朝かそれ以前。
うーん

ところで、D-Bornって実際効果あるの?

288 :名無しさん@お腹いっぱい。:02/02/15 15:52
つーか
http://choco.2ch.net/news/kako/1013/10131/1013122788.html
の727がD-Bornの作者だったら・・・・(まさか)
このスレからは、数々の伝説が生まれているみたいだ。

289 :名無しさん@お腹いっぱい。:02/02/15 16:04
ちなみに漏れは↑443である。
韓国の掲示板書き込みの張本人ID:J/BOVv0+が漏れのレスの前だとは・・・。
やはり伝説が生まれている。

290 :名無しさん@お腹いっぱい。:02/02/15 16:53
>>287
そりゃぁもう、作者は結構優秀なハカーだと思われ。
実際かなり痛い。
しかも厨でも簡単にできちゃうところが更にヤバイ。

いや、マジでスゲェよ>あの作者

291 :名無しさん@お腹いっぱい。:02/02/15 17:33
ここの>>1からして、ニュー速厨、もしくはネタに乗せられたアホ
かと思われるが。
有意義な議論が展開されているところに水を注すようだが。

>>290
半角カタカナは使う奴は馬鹿だって、void先生が言ってましたよ:)

292 :290:02/02/15 17:50
>>291
ヒーまじっすか〜。怖いです。
(よかったら>>290のメアドにメール下さい>>291 & くさかべ先生)

293 : ◆YaKINcTg :02/02/15 18:40
Unicodeだから半角カナだろうが大した問題じゃないがな。。。

294 :名無しさん@お腹いっぱい。:02/02/15 20:11
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  


295 :knok:02/02/15 20:26
TCP/IPは低コストで使えるが、低品質という諸刃の剣(trade off)。
素人にはお薦めできない(藁
まぁ、お前ら素人はftpだのtelnetだのuucpでマターリ
してなさいってこった(藁
apel をみると find-face は短かかったので、navi2ch-mona.el に
含めてパッチを適用しました。
apel は GPL だしその旨書いたので問題ないですよね...
[global]
workgroup = test
client code page = 932
coding system = cap
server string = Beta2(Samba Server)
netbios name = Beta2

log file = /var/log/samba/log.%m
max log size = 50
でもって、multi thread 関係が貧弱だよ、PC UNIX は。まだ Win2K のが
まし。この点は Solaris が一番すすんでると思う。趣味で program 書い
てるレベルだけど。もちろん高い処理能力や 3D 関係のソフトかきたいなら
Win2K や PC UNIX の方が良いだろうと思いま。

# とりあえず、うちの FSF Emacs 21.2.50 では、apel がはいっていても起動
# 時に (void-variable find-face) でエラーになったので、再定義されてい
# るところを消してしまいましたが(^^;

296 :knok:02/02/15 20:34
んで、SYN Cookies は有効にしてるんですか? あと、常識的なfilter
(192.168.0.0/16 ... の叩き落とし)は? D-Bornのパケット覗きもし
ないで言ってるけど。
そういや、FreeBSD 4.5Rから使えるようになった
syncache & syncookiesの複合技は、相当強力なSYN Flooding攻撃にも
source addressを偽造といっても、
相手が生きている場合は攻撃効果さがる。
てことはsource addressはそれなりにreachableなところだとマズイ。
汎用品として使えるねこれ < D-born
rawソケットつかってるって書いてあるから、
てことはsource addressが乱数であっても、
考えられることは、まず、日韓間系が悪くなることをねらっている何者かが、
うまく2ちゃんねるを煽って、全板に嫌韓感情を広めようと裏で動いてるはず
煽られて、韓国からの攻撃とおもって煽られている奴がたくさんいる
とうせ、韓国の掲示板でわざと攻撃予告をしたか、        
誰かが攻撃予告したのを利用しただけだろう         
この場合、裏で動いてるのはおそらく北朝鮮だろう       
耐えるって話を本家のメーリングリストで聞いた覚えがあるんだが、
具体的な数値を忘れてしまった。スマソ。       

297 :名無しさん@お腹いっぱい。:02/02/15 20:53
(´-`).。oO(素人の煽りかな?)

298 :名無しさん@お腹いっぱい。:02/02/15 20:56
(´-`).。oO(降臨期待age)

299 :名無しさん@お腹いっぱい。:02/02/15 21:19
(´-`).。oO(神様、どうか攻性防壁作ってください・・・)



300 :想像力なしさん:02/02/15 21:46
ところでさ、結局なんにも対策しないのかな?
今日も頻繁に接続不能になってるけど

linuxのsyncookieに関しては、このサイトが詳しい(w

http://lxr.linux.no/source/net/ipv4/tcp_ipv4.c?v=2.2.19#L1230
http://lxr.linux.no/source/net/ipv4/tcp_ipv4.c?v=2.4.17#L1248

301 :名無しさん@お腹いっぱい。:02/02/15 21:56
UNIX板住人が過度に神格化されてることが、異常なのだが・・・。

今回の件で、2chに対するSYN floodアタックの有効性が白日の下に晒された
わけで、D-Bornのアタックを克服したところで、今度は大学や企業などの鯖
を踏み台にした大規模なDDoSアタックが行われないとも限らない。

8/25のときは、規模縮小をせずに閉鎖危機を回避したが、今度こそは構造改革
が必要だと思う。例えば掲示板の何割かをカットし、余った鯖をFWに使うとか。

302 :想像力なしさん:02/02/15 22:13
>>301
FW入れても、DDoSレベルになったら防げないって

あと、FWは、多くのセッションに対応してるのは高いから、
OSのsyncookieが一番安価でいいとおもうけど?
デフォルト値では、2ちゃんなみのアクセスだときついけど、
ちゃんとパラメータ調整すればいいし

http以外のプロトコルでは、syncookieが作動してると
うまくセッションが張れないプロトコルがあるけど、
2ちゃんの場合は、httpだけなので、ほとんど問題なし

303 :名無しさん@お腹いっぱい。:02/02/15 22:13
>301
サーバや板を減らすといったマイナス方向に行くか、
もう一台PCぶっこんでFW作るかといった方向かは、
夜勤の懐具合に属する問題であって、この問題の構造改革とは
なんの関わりもないものであります。

304 :名無しさん@お腹いっぱい。:02/02/15 22:14
>302
Syn F/W(SYN Proxy)っていう方向性は、故意に忘れ去られておるのでしょうか?

305 :想像力なしさん:02/02/15 22:27
>>304
なに?その方向性って

306 : :02/02/15 22:38
で、UNIX板の方々でなんとかしていただけるんでしょうか?
もう泣きそうでつ

307 :名無しさん@お腹いっぱい。:02/02/15 22:40
>>301
とりあえず、踏み台にされそうなところにお勤めの方は、
所属している組織のネットワーク管理者に、
invalidなパケットの送出を防ぐように呼びかけていくとか、
そういう地道な活動でもやればいいんじゃない?
説得材料はこのスレにあるみたいだし。


308 :名無しさん@お腹いっぱい。:02/02/15 22:50
>>301
踏み台にされた企業をすべて晒しあげれば漏れみたいな厨房が逆DoSで
沈めてあげるYO!

規模を縮小するような逃げに出れば攻撃者が喜ぶだけだと思うYO。


309 :301:02/02/15 22:52
>>304
そうそれ。実際どれだけ有効かは自分は全く知らないけど。
ただ、全鯖を掲示板用に回して防衛なしという状況はちとまずいと思ったから。

とりあえず、この板で何ができるかって言えば、今回はプログラムを
書くとかじゃなくて、夜勤さんに進言すべきことを、皆で相談すること
だけだし。

DDoSは、確かに言われてみれば防ぎようがない。それはそうと、ニュー速
の厨房が韓国の掲示板サイトで暴れているが、報復が本気で心配だ。

310 :想像力なしさん:02/02/15 22:58
>>309
Syn F/W(SYN Proxy)が何を意味しているか分からないが、
普通のFirewall(サーバ型じゃなく、ネット機器型)は、
ホストに変わってsynパケットに代理応答する機能があるけど、
それのこと?

311 :名無しさん@お腹いっぱい。:02/02/15 23:01
>310
http://www.google.co.jp/search?q=SYN+Proxy&hl=ja&btnG=Google+%8C%9F%8D%F5&lr=

312 :名無しさん@お腹いっぱい。:02/02/15 23:02
>310
http://www.google.co.jp/search?hl=ja&q=SYN+firewall

313 :名無しさん@お腹いっぱい。:02/02/15 23:28
なんか、時間が時間なのか技術的なことよ〜しらん人も増えてきたみたいだから、
とりあえず、これでも読んでくれ。
ttp://members.tripod.co.jp/eazyfox/Security/Security14.html

314 :名無しさん@お腹いっぱい。:02/02/15 23:34
>313
関係ないけど、そのページの冒頭、
>サービスを再開するまでに数時間を要することとなた。
の誤字で、以降の記述の信頼性にいきなり翳りが・・・(笑)

315 :名無しさん@お腹いっぱい。:02/02/15 23:43
      ♪
  ♪
♪  ∩ ∧_∧   
   ヽ ( ´A`)  なんじゃこりゃあああ!
    ヽ ⊂ ヽ   
     O-、 )〜  
       U
http://www.puchiwara.com/hacking/
      ♪
  ♪
♪  ∩ ∧_∧   
   ヽ ( ゚ー゚)  えろいニャー!
    ヽ ⊂ ヽ   
     O-、 )〜  
       U


316 :名無しさん@お腹いっぱい。:02/02/16 00:19
>>315
氏ね

317 :名無しさん@お腹いっぱい。:02/02/16 00:24
puchiwara.comってなんでアクセス禁止にならないのかなぁ?

318 :名無しさん@お腹いっぱい。:02/02/16 09:41
FF・DQ板に、シンが攻めてきたー、とか基地外スレッドが立つ事を
期待してしまう漏れ

319 :名無しさん@お腹いっぱい。:02/02/16 09:51
>>318
"シン"が2chを襲撃@FFDQ板
http://game.2ch.net/test/read.cgi/ff/1013820599/



320 :名無しさん@お腹いっぱい。:02/02/16 10:06
やはりFFDQ板の奴らはアフォですね。
一応巷では2ちゃんねるのゲーム系の板最低レベルの板と言われているだけあるわ・・・

321 :名無しさん@お腹いっぱい。:02/02/16 10:09
ゲーハーわ?

322 :名無しさん@お腹いっぱい。:02/02/16 11:32
>>321
最低レベルどころか最低です。

323 :名無しさん@お腹いっぱい。:02/02/16 11:39
>>320
これとか好きなんだけどな。
http://game.2ch.net/test/read.cgi/ff/1006522756/

324 :名無しさん@お腹いっぱい。:02/02/16 11:42
その318-320の件だけど、結局そのスレで自作自演がばれて吊しage食らってます。
まあここの1と22を必見と言うことで。

"シン"が2chを襲撃@FFDQ板
http://game.2ch.net/test/read.cgi/ff/1013820599/


325 :320:02/02/16 11:47
320だけどさぁ、俺が自作自演した?
バカなこと言うなよ。
318 not equal 320だ。本当に。
ちなみに、FFDQ板のスレ立てたのも俺じゃない。

いちいちこんな事で騒ぐからFFDQ板は第二厨房板だなんて言われちゃうんだよ。
ほんとにさ。
一々文句を言いにくるなよ。>>324

326 :名無しさん@お腹いっぱい。:02/02/16 11:49
>>325
いちいちそんなことで騒ぐなよ。

327 :名無しさん@お腹いっぱい。:02/02/16 11:57
>>325
厨房を放置できないお前も厨房

328 :名無しさん@お腹いっぱい。:02/02/16 12:00
くだらない論争なら他でやれよ。

329 :名無しさん@お腹いっぱい。:02/02/16 12:15
なんかSYN Flooding対策はあと鯖を設定するだけって感じだが、
例のランダム文字列荒らしはどうよ?
ってスレ違い?

330 :想像力なしさん:02/02/16 12:37
>>329
ランダム文字列は、bbs.cgi とかの仕事

331 :名無しさん@お腹いっぱい。:02/02/16 13:26
役立たずの会話するくらいなら、他のスレでも行って
このスレは沈めろ。

332 :329:02/02/16 13:28
>>331
すまん・・・

333 :名無しさん@お腹いっぱい。:02/02/16 14:35
>>330
そういえばプログラム技術板のread.cgi開発スレで、bbs.cgiとかの一部
ソース公開の話題も出てたけど、どうなったんだろうか・・・。

どちらにしろ、SYNクッキーモード発動時の高負荷にも対応できるように、
システム全体で、負荷を軽くしていく努力をする必要があるのは確か。
それから、利用者にはある程度不便にしていって、高負荷につながる
アクセスを減らすようにすることかな。ずいぶん前のスレで出てたけど。

334 :名無しさん@お腹いっぱい。:02/02/16 14:48
>333
なんでクオリティオブサービス下げる必要があるのかがわからない。
ま、無能だから、だけどね。

335 :名無しさん@お腹いっぱい。:02/02/16 14:50
攻撃時にハングル板に異常にアクセスが殺到してるのが気になる。

とりあえず、攻撃を受けてる時はテレホタイムのモードに切り替えね。
初歩的なことだけど。

336 :名無しさん@お腹いっぱい。:02/02/16 15:05
D-Born ver2.00
http://qb.2ch.net/test/read.cgi/accuse/1013768070/l50

これだべか?

337 :名無しさん:02/02/16 15:11
げ、マジじゃん。
作者は本気なんだね。

こりゃ、タイーホ覚悟なのか?

338 :名無しさん@お腹いっぱい。:02/02/16 15:15
何でこんなに本気になれるのかとどぼーん作者に問いたい気分だ。

339 :名無しさん@お腹いっぱい。:02/02/16 15:20
普通のお仕事してる人じゃないのは確実
こんなことやばすぎてできん・・・
学生かその筋の人だろうなぁw

340 :名無しさん@お腹いっぱい。:02/02/16 15:21
作者は逮捕されないでしょ。
されるとしたら使ったやつだけだよ。

ソース公開キボーン!

341 :名無しさん@お腹いっぱい。:02/02/16 15:26
>>334
祭りや実況は、ある程度抑制する必要あり。>>333の主張も一理ある。
特に、gzipの導入で転送が軽くなった分、ヘビーなアクセス者が増加
してる事実もある。サーバの負荷は増える一方なのよ。

クオリティオブサービスといっても、どこに求めるかってのも微妙よ。
例えば今回みたいに簡単な攻撃でサービスが止まるのは問題外なわけで。
というか、個人運営の非営利サイトにその言葉持ち出すのもどうかと。

具体的な提案も無しにむやみに反論するのは、煽りと変わらんよ。

342 :名無しさん@Emacs:02/02/16 15:32
んだなあ〜。
基本的にここはひろゆきのボランティア(!)でやってもらってるという認識を、
みんな忘れてないかい?

343 :名無しさん@お腹いっぱい。:02/02/16 15:33
> ソース公開キボーン!
作者以外に誰がソース持ってるのよ?

SYN floodアタックの原理はごく簡単。多分D-Bornもあまりトリッキーな
ことはやってないと思う。
ソース読んで判るほどの力があれば、自分で同様のものを書けると思うよ。

344 :名無しさん@お腹いっぱい。:02/02/16 15:39
>342
ボランタリーは夜勤なのであって、ひろゆきは収入得ています。
お間違えなく。

345 :名無しさん@お腹いっぱい。:02/02/16 15:48
でもさ、こうやって一つの問題に対してこうやってみんなが知恵を出し合っ
てるのみると、ここも捨てたもんじゃないな、って思うよ。
そこらの営利サイトにはない、一体感みたいなのがあって、そういうところ
が良い意味での「2ちゃんねるらしさ」だと思う。

346 :名無しさん@お腹いっぱい。:02/02/16 15:52
>340
D-Bornじゃないけど、Linux版だったら持ってるよ。

347 :名無しさん@Emacs:02/02/16 16:01
>>345
まあアットホームっちゅうか手作り感っちゅうか、ようは厨房だな。

348 :名無しさん@お腹いっぱい。:02/02/16 16:14
>>346
SYN floodアタックツールは、その手の趣味プログラマなら必ずスクラッチ
したことのある、ある意味Hello, World的なものだと認識してるのだが、
違うかの?

>>347
そう、でもその素人っぽさがとてつもなく大好きだ。
管理人がとてつもなく厨房だからこそ、真のフリースピーチの場として
2chが存在し、多くの人を魅了しているんだと思う。

349 :名無しさん@お腹いっぱい。:02/02/16 16:18
>348
代わりがあればよそへ行く、ってレベルの段階には、なってきているけどね。

350 :名無しさん@お腹いっぱい。:02/02/16 16:28
そういえば、ひろゆきは「ネットワークセキュリティアドバイザー」
という肩書きで、報酬を得ているワケなんだが、ネットワークセキュリティアドバイザー
っていうのは、SYN Floodあたりでおたおたしていても務まるものなのかね?

351 :名無しさん@お腹いっぱい。:02/02/16 16:29
いまD-bone使ってたのは、このスレ覗いた奴かのう?

352 :名無しさん@お腹いっぱい。:02/02/16 16:31
う〜ん、いい加減にしてほしいなぁ。

353 :名無しさん@お腹いっぱい。:02/02/16 16:32
ただの嫌がらせとは解っていたが、
やられるとこれほどムカつくものとは思わんかったわ。

354 :名無しさん@お腹いっぱい。:02/02/16 17:02
>>350
そういえばひろゆき、今何やってるのだろうか?
うまい棒食いながらオリンピック観戦してたら本気で怒るよ。

このスレも避難所が必要かな。肝心なときに議論がストップするのは致命的。

355 :名無しさん@お腹いっぱい。:02/02/16 17:05
ログを取りはじめる理由が必要だったから、
実は願ったりかなったり、なんてことはないよな(笑)


356 :名無しさん@お腹いっぱい。:02/02/16 17:18
竜氏の云うやうに、「8月危機(・∀・)ジサクジエン」説ですか。
DDoSジサクジエンはさすがに危険度が高いやうな‥‥

357 :名無しさん@お腹いっぱい。:02/02/16 17:26
ADSLやケーブルなどの高速回線の普及が、今回みたいな個人レベルでの
DoSアタックを可能にしたと思う。

犯人もさすがにWebブラウズもやりたかろうから、退席中に走らせたり
してるのだろう。攻撃が断続的でないのもうなずける。

358 :名無しさん@お腹いっぱい。:02/02/16 18:15
また来ているみたい。

>>354 寝てるんじゃない?

359 :名無しさん@お腹いっぱい。:02/02/16 18:48
ひろゆきはいつも通り動かず
今回も攻撃はじまった時は誰かと飲みに行っていたらしいし

360 :名無しさん@お腹いっぱい。:02/02/16 18:54
それ、管理人失格です。
で、何もかも終わったたころにメルマガに書くんだろうなー。

なかなか終わりそうにないけど。

361 :名無しさん@お腹いっぱい。:02/02/16 18:57
> SYN floodアタックツールは、その手の趣味プログラマなら必ずスクラッチ
> したことのある、ある意味Hello, World的なものだと認識してるのだが、
> 違うかの?

まあ、良い悪いはともかく、TCP/IPの基本を身につけるには
最良の教材ですな。
tcpdumpでパケットの中身を見ることができたら、次は
raw socketを使って3-way handshakeを手動で行ってみる
のがセオリーですからな。

362 :名無しさん@お腹いっぱい。:02/02/16 19:06
>>357
管理者失格な奴のサーバをハクして DDoS のエージェントにするのと、
人間失格な奴を煽って DoS を手伝わせるのは、なんか似てる気がする。
どちらもダメ人間が多量に存在する事を前提にしてる。

363 :名無しさん@お腹いっぱい。:02/02/16 19:12
>>361
で、SYNパケットを投げる部分だけを無限ループで回したら
ネットワーク管理者から大目玉をもらうと。(藁

364 :名無しさん@お腹いっぱい。:02/02/16 22:02
自分のメールボックスを確認してみたら、こんなものが。
>■2ちゃんねらーが選ぶ邦画TOP100の巻■

案の定、今回のアタックの件は触れてない。(まさか知らない?)
こんな管理人、他人だから笑っていられるが、回りにいたら嫌過ぎる。

365 :名無しさん@お腹いっぱい。:02/02/16 22:10
>>364
金払って雇ってる管理人じゃないのだから、好きに
振舞うのは当然でしょ。



366 :名無しさん@お腹いっぱい。:02/02/16 23:16
>357
SYN投げるだけだもんよ。回線の太さ・早さなんか関係ないだろうよ。
投げたSYN受け取らないからこそ、SYN Floodが成立するんだし。

367 :名無しさん@お腹いっぱい。:02/02/16 23:18
夜勤 ★さんはちゃんと設定されるのでしょうか?

368 :名無しさん@お腹いっぱい。:02/02/16 23:38
>366
投げたSYNの「返事(Ack)」ね。

369 :名無しさん@お腹いっぱい。:02/02/16 23:43
>>366
いや、たしかACKの待ち時間が設定されてるはず(標準で3分程度?)。
今回みたいに何台ものサーバのバッファを溢れさせるには、同時に
SYNを大量に送りつける必要がある。

370 :名無しさん@お腹いっぱい。:02/02/16 23:55
ちなみにバッファってのはハーフオープン用の。

いわば穴の空いたバケツに一気に水を注いで淵から溢れさせようって
理屈だから、個人レベルでやるにはある程度高速な回線が必要。
誤解してたらスマソ。

371 :名無しさん@お腹いっぱい。:02/02/17 00:01
けどADSL程度の帯域あれば
2ちゃんねるの全サーバ余裕で落とせるんだよね?
ISDNとかモデムでも十分被害出るかと。

372 :名無しさん@お腹いっぱい。:02/02/17 00:09
>ISDNとかモデムでも十分被害出るかと。
攻撃対象とする鯖を絞り込めば、それも有りうる。
実験するヤシがでたらまずいので、sage

373 :名無しさん@お腹いっぱい。:02/02/17 00:10
よし、実験しよう!

374 :想像力なしさん:02/02/17 00:19
>>373
死ね

375 :名無しさん@お腹いっぱい。:02/02/17 00:20
56Kbpsのモデムでもそれなりに被害でんか?
SYNってそんなにでっかくないよ。
秒間3000コは投げつけられるハズ

376 :名無しさん@お腹いっぱい。:02/02/17 00:21
>373
オメーのIPさらせ
漏れが実験してやる

377 :名無しさん@お腹いっぱい。:02/02/17 00:24
>56Kbpsのモデム
送信側のスピードっていくらくらいだっけ?

378 :名無しさん@お腹いっぱい。:02/02/17 00:24
>>376
漏れも協力汁。

379 :名無しさん@お腹いっぱい。:02/02/17 00:24
>>376
実験するのはいいんだけどさ、
373はhttpd起動してんのかしら??


380 :名無しさん@お腹いっぱい。:02/02/17 00:26
 あの〜初心者なので申し訳ないんですが、

 たしか、2ちゃんねるの転送量の問題でたしかフィルターで対処する実験が続いてる、
って聞いた事があります。

 今回のDdos攻撃でも、フィルターで対処するようなことが書かれてますが、
今回の執拗な攻撃を理由として用いられる何らかのフィルターと、
全体の転送量を減らす目的としてのフィルターでは何がちがうのでしょう?
それとも、もしかして、スレ違いでしょうか?

381 :378:02/02/17 00:26
>>379
80以外でもなんでもOK。
なんなら22あたりで。

382 :名無しさん@お腹いっぱい。:02/02/17 00:27
>379
port 80 でなきゃだめ?

383 :名無しさん@お腹いっぱい。:02/02/17 00:27
>>380
スレ違いっつーか、カン違いだ。

384 :名無しさん@お腹いっぱい。:02/02/17 00:33
>>379
良い事に気がついた。

個人でhttpdなんざ、せいぜいCGIのテストやりたい奴がlocalhostで
使ってる程度だと思われ。自前でWeb鯖立ててるツワモノもいるのかな?

385 :名無しさん@お腹いっぱい。:02/02/17 00:42
>384
自宅では port 22 以外は晒してないなぁ

386 :名無しさん@お腹いっぱい。:02/02/17 01:43
自前アプリでSYN-FLOODかけるんだったらnmapでステルススキャンして、
レッツゴーでもいいけれど、
D-Bornつかって攻撃かける場合は80があいてないとダメね。


387 :名無しさん@お腹いっぱい。:02/02/17 02:13
>372
どこだったか忘れたけど、ISDNでD-bornを2ちゃんにかけて、
充分すぎるほどの効果を確認できた、って人の書き込みがあったな。

388 :名無しさん@お腹いっぱい。:02/02/17 04:10
またdjんね・・・。

ためしにd-bornでおうちのFreeBSD4.5+Apache1.3.23にアタックかけてみたけど、
ビクともしないね。

4.5-Releaseをデフォルトで入れただけで、Apacheもデフォルトでmakeしたのに・・・。


389 :名無しさん@お腹いっぱい。:02/02/17 04:19
>>388
そりゃ、FreeBSD 4.5 は default で syn cache だからな。

390 :名無しさん@お腹いっぱい。:02/02/17 04:32
>>389
ログも何にも出ないね。
パケットは飛んでるみたいだけど

391 :名無しさん@お腹いっぱい。:02/02/17 05:29
白痴西村読みなさい D-Bornで攻撃してるのは私です
http://qb.2ch.net/test/read.cgi/accuse/1013447591/

392 :名無しさん@お腹いっぱい。:02/02/17 07:09
ふーん、FreeBSDてえらいんだねー

393 :名無しさん@お腹いっぱい。:02/02/17 10:25
>>389
syncache+syncookieの合わせ味噌だ。

394 :名無しさん@お腹いっぱい。:02/02/17 10:54
D-Bornが送るパケットのサイズってどれくらい?
IPヘッダが24オクテット、TCPヘッダが24オクテット。アナログモデムの
場合、単純計算で秒間100〜200個。(この辺の計算あんまし自信なし)

これってポート詰まらせるのに十分なの?

395 :名無しさん@お腹いっぱい。:02/02/17 11:07
ロカール環境で freebsd4.5 と openbsd3.0 に d-born やってみたけど、
なんもならんかった、、、
そーいうもんなんでしょうか

396 :名無しさん@お腹いっぱい。:02/02/17 11:11
>>375
つーか、どういう計算したらそんなデカイ数字になる?

397 :想像力なしさん:02/02/17 11:40
>>394
SYNパケットなら、44バイト
しかし、これにL2以下のデータも載るから、実際はもっとおおきくなるけど
アナログ(56k)なら、一秒間に60パケットほどじゃない?

linux(2.2.20)のデフォルトのバックログなら、すぐに埋まりますね
2chがどれくらいバックログを増やしてるのか分からないけど、
1024くらいでも、タイムアウトを短くしない限り埋まっちゃいますね

そういった細かいチューニングって、big-server や Hurricane Electric が
ちゃんとやってるか不明

398 :想像力なしさん:02/02/17 11:43
あ、実際は、IPヘッダ圧縮とか、モデムによる圧縮が入るから、
もっと違う値になるかもしれません

399 :名無しさん@お腹いっぱい。:02/02/17 11:50
>モデムによる圧縮
その場合、一番速度的に不利なのはISDNの64Kか。

400 :名無しさん@お腹いっぱい。:02/02/17 12:03
400

401 :名無しさん@お腹いっぱい。:02/02/17 12:16
いや、よく考えればIPがでたらめな値だから、圧縮が効いてもあんまり
圧縮率は高くなさそうだな。

kabaなどの旧いサーバが生きてるのは、なかなか手応えないので攻撃対象
から外してるのかも。
どちらにしろ、落ちるサーバはおそらくチューニングしてないな。

402 :名無しさん@お腹いっぱい。:02/02/17 12:32
もしかして
強力な感染力のウイルスに仕込むともうだめぽ?

403 :名無しさん@お腹いっぱい。:02/02/17 12:52
>>402
なるほど、そういう方法も考えられるか。
Winsockに感染させて、2chを攻撃。まさに鬼だ。

404 :395:02/02/17 13:17
散々ためしてみた結果、openbsd 3.0 には明かな延滞がありました。
freebsd 4.5 はびくともしませんでした。

405 :名無しさん@お腹いっぱい。:02/02/17 13:22
>>404
ログとか取ってらっしゃる?
あと、誰か2chと同じ環境用意できる人いたら、報告よろしく。

まったくもって人任せだが。

406 :名無しさん@お腹いっぱい。:02/02/17 13:22
>>402
それがDDoS攻撃って奴ヨ


407 :名無しさん@お腹いっぱい。:02/02/17 13:29
>>405
だから、2ch の設定ではアウトなんだって。

408 :名無しさん@お腹いっぱい。:02/02/17 13:30
>407
>405は、free BSDで、でしょ?

409 :407:02/02/17 13:32
>>408
あぁ、すまん。2chと同じ「ネットワーク」環境を用意できる人に
FreeBSDで試してちょーということか。ごめん>>405

410 :名無しさん@お腹いっぱい。:02/02/17 13:32
つか、ログとったら逆にサーバが死ぬような気がするな

411 :名無しさん@お腹いっぱい。:02/02/17 13:34
>>406
そういえば韓国にはDDoSのエージェントに使えそうなサーバが大量に
あるそうな。「韓国から攻撃?」って馬鹿騒ぎしてた連中もいたが、
あながち間違いでなくなるかも。

2ch同次多発dj対策本部スレ@ハン板
http://kaba.2ch.net/test/read.cgi/korea/1013427439/577
577 :  :02/02/16 16:54 ID:EJAUijyO
>>575
!祝Code Red Worm 発信数ダントツ1位!
http://kaba.2ch.net/korea/kako/998/998142242.html
Code Red普及率
ttp://www.security.nl/misc/codered-stats/

412 :名無しさん@お腹いっぱい。:02/02/17 13:48
>>402
2ch攻撃ツールと明示的に書いてあるところが、まだ親切だよな。
高速分割ダウンローダとか、タグブラウザみたいな、一見害が
なさそうなのでやられると、まずどのサイトで配られたどのアプリが
原因かを特定するところから始めないといけないからな。

って、激しくスレ違いだ・・・スマソ

413 :名無しさん@お腹いっぱい。:02/02/17 13:51
なんか、攻撃したい奴にもアイデアを提供するスレになってきたな。

414 :名無しさん@お腹いっぱい。:02/02/17 14:04
d-bornを会社のサーバに向けて実験したら、
「*.2ch.net」てな名前のドメイン名持ってないと相手を攻撃できない模様。
なかなか落ちないね最近のサーバは

415 :名無しさん@お腹いっぱい。:02/02/17 14:09
> d-bornを会社のサーバに向けて実験したら、
あなた凄ぇや・・・。漏れにはそんな肝無い。

> 「*.2ch.net」てな名前のドメイン名持ってないと相手を攻撃できない模様。
bbspink.comも攻撃対象になってるみたいだけど?

416 :名無しさん@お腹いっぱい。:02/02/17 14:38
>>415
あれま bbspink.comも大丈夫だったのね
名前がd-bornでオッケーならば、
名前→IP変換できるようにすりゃいけるので明日やってみます


417 :名無しさん@お腹いっぱい。:02/02/17 14:52
実行ファイルの73fc,fd,fe("2ch")を0(NUL)に書き換えればチェックルーチンは
抜けられます。upx解凍前で可能。解凍後も、それなりなところをNULにすれば、
大丈夫。


418 :名無しさん@お腹いっぱい。:02/02/17 15:06
白痴西村読みなさい D-Bornで攻撃してるのは私です
http://qb.2ch.net/test/read.cgi/accuse/1013447591/l50
<アース神族軍メンバー一覧表>
氏名     役職       種族    領地     神格 HP メール 現住所 
Messiel  リーダー   アース神族   八畳程度   二  ○  ○  東京都府中市
ネオ麦茶  エインフェリア  人間   実家に自室あり/ ○  /  京都府医療少年院
むねお   エインフェリア  人間    不明      /  ○  /   不明
神風    エインフェリア  人間    不明      /  /  ○  兵庫県神戸市
たかし   エインフェリア  人間    不明      /  /  /  大阪狭山市
テキーラ  エインフェリア  人間    不明      /  /  /   不明
佐々木   ヤクザ      人間    不明      /  /  ○   北朝鮮
木村    ヤクザ      人間    不明      /  ○  /  東京都荒川区東日暮里
(´ー`)y−~~~トイレ掃除   人間    不明      /  /  /   不明
あひゃ   調理師      人間    不明      /  ○  ○  愛知県半田市


419 :Kusakabe Youichi:02/02/17 15:07
> D-Bornで攻撃してるのは私です

ということにしたい。

420 :名無しさん@お腹いっぱい。:02/02/17 15:22
v2.0はupxじゃないので、ご注意。

421 :名無しさん@お腹いっぱい。:02/02/17 15:40
http://pc.2ch.net/test/read.cgi/network/1013926738/
キタ━━━━━━━(゚∀゚)━━━━━━━━━!!!!!

422 :名無しさん@お腹いっぱい。:02/02/17 20:40
>413
バグ情報やセキュリティ情報をチェックするのが、攻撃の第一歩だからね。

423 :名無しさん@お腹いっぱい。:02/02/17 20:46
>417
それのやり方わからんかったからメモリエディタつかって
当該チェックの文字列消して、BSDのサーバにやってみた。

一秒間に450くらいのTCP要求を吐き出してる>D-bone

424 :名無しさん@お腹いっぱい。:02/02/17 20:48
ゆか、hostsにwww.2ch.net追加してIPアドレスを被験対象のにすりゃえーべ

425 :名無しさん@お腹いっぱい。:02/02/17 20:57
ADSLのNATつきルータの内側で、D-Bornを動かしたら、srcアドレスが置き換わってたりしないかしら・・。

なんか試しにD-Born使ってみて、2ch側にログ取られてるイタイ人がいそうで。



426 :名無しさん@お腹いっぱい。:02/02/17 21:02
>425
基本的にログは取れないよ。SYN Floodだもん。

427 :名無しさん@お腹いっぱい。:02/02/17 21:04
IPマスカレードを行ったときにルータのWAN側のIPに置き換わってるってことでしょ。

428 :名無しさん@お腹いっぱい。:02/02/17 21:06
syslog吐かせてみた。
受け側アドレス伏せるために1.2.3.4に変えてる。

Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 130.0.90.1:1972 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 187.68.205.27:1409 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 222.56.44.35:1568 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 36.21.80.5:1695 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 209.122.239.105:1183 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 44.118.117.107:1545 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 195.76.177.84:1978 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 139.15.254.51:1974 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 24.44.57.72:1438 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 238.88.39.54:1359 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 100.0.203.79:1770 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 59.48.122.49:1023 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 15.103.213.21:1657 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 253.52.198.30:1778 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 117.52.53.0:1283 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 116.45.193.124:1255 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 224.31.24.27:1818 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 12.59.51.94:1401 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 243.61.160.58:1542 1.2.3.4:80 in via tun0
Feb 17 20:00:54 gateway /kernel: ipfw: 1050 Accept TCP 27.83.197.89:1011 1.2.3.4:80 in via tun0

429 :名無しさん@お腹いっぱい。:02/02/17 21:07
>427


430 :名無しさん@お腹いっぱい。:02/02/17 21:09
>425>427
なるほど。そりゃイタイ。

431 :名無しさん@お腹いっぱい。:02/02/17 21:14
>>426
syn フラグのたったパケットだけ記録する手段なら
いくつか思いつくんですけど気のせい?
tcpdumpでもできるんじゃないかい?

2chサーバはサーバにその手のソフト載せられないのかな。
だったら難しいかもしれませんけど。



432 :名無しさん@お腹いっぱい。:02/02/17 21:15
>>425
一応、法的に裁く事が出来るみたいよ?

刑法234条 威力業務妨害罪
威力を用い人の業務を妨害したる者、3年以下の懲役又は50万円以下の罰金に処す。


433 :名無しさん@お腹いっぱい。:02/02/17 21:18
CheckPoint Firewall-1で防げないのか?

434 :名無しさん@お腹いっぱい。:02/02/17 21:19
>>431
過重負荷でサーバが死ぬかもしれません。

435 :名無しさん@お腹いっぱい。:02/02/17 21:24
CPU負荷にならなかったら死ぬ確率は低くなるよ


436 :名無しさん@お腹いっぱい。:02/02/17 21:26
サーバの負荷が恐かったら
2またケーブル作って横っちょで覗くつぅのがいいかも

L3Sw ------------+----- Server
or |
L2Sw |
+----- Sniffer
でも 2chサーバは海外にあるんだっけ。


437 :パソコン検定6級:02/02/17 21:27
パソコン検定6級もってますが、なにか?

438 :  :02/02/17 21:28
これ韓国のプログラムだけど、どう思う?

http://standard.amikai.com/amiweb/browser.jsp?url=http%3A//www.dczine.com/pds/refresh1.html&display=2&langpair=9%2C2&lang=EN&toolbar=yes&go=Translate


439 :436:02/02/17 21:28
しまった、スペースで絵が崩れた

L3Sw -----------+----- Server
or       |
L2Sw      |
        +----- Sniffer


440 :名無しさん@お腹いっぱい。:02/02/17 21:33
<<437
なんの関係があるんだ?


441 :名無しさん@お腹いっぱい。:02/02/17 21:33
>>431
source address 偽装されてるんでないの?

442 :名無しさん@お腹いっぱい。:02/02/17 21:37
>>438
単にリロードをかけるプログラムってところか
F5キーの攻撃と同じことが自動でできますよってところだね

443 :名無しさん@お腹いっぱい。:02/02/17 21:37
L3Sw -----------+----- Server
or           .|
L2Sw          .|
              +----- Sniffer

444 :名無しさん@お腹いっぱい。:02/02/17 21:38
>>435
確かに、攻撃時はアクセスが無くなって結果的に負荷は下がるから、
ログとってもあんま問題なさそう。
でも、ログ取る暇あったらさっさとチューニングしろと思ったり・・・

>>437
基本情報持ちNW不合格の学生ですが何か?


445 :名無しさん@お腹いっぱい。:02/02/17 21:38
>>441
>>425を読んだ上で言ってるのか? わからなければ口をだすな。


446 :名無しさん@お腹いっぱい。:02/02/17 21:40
スニハーしかけるのはよいとして、問題は保存期間だナ

447 :名無しさん@お腹いっぱい。:02/02/17 21:43
保存期間は使えるディスク容量との相談でしょう
あるいはポリシーから?日以上保存しちゃ嫌って意味?


448 :名無しさん@お腹いっぱい。:02/02/17 21:46
>>447
そそ、容量上の問題ヨ
わかってくれてありがとう
解析者の能力とトレードオフなところなんだけどね

449 :名無しさん@お腹いっぱい。:02/02/17 21:51
つーか、P検6級って・・・
http://www.pken.com/what/6kyu/6kyu_details.html

450 :名無しさん@お腹いっぱい。:02/02/17 21:53
>>448
クライアントアドレスとSYNパケット送信回数をカウントする
スクリプト(かなんか)書いて上位にくるアドレスをしらべると
いいんじゃないかな。
あとは I mode を含む既知のプロキシサーバをカウントから除外する
と攻撃に参加しているコンピュータのアドレスが残ると思う。
できるだけソフトウェア処理してやらないと解析者が人手で
調べきれないよね(009の様に加速装置がついてるなら別 )



451 :名無しさん@お腹いっぱい。:02/02/17 21:54
>>404
OpenBSDには、syncookies も syncache も、どちらも入ってないんじゃないの?

452 :名無しさん@お腹いっぱい。:02/02/17 21:57
>>437
このスレッドでP検6級とか言ってるやつ逝ってヨシ

453 :名無しさん@お腹いっぱい。:02/02/17 22:02
>>452
ネタレスに反応するのもどうかと・・・。
つーか、やっぱネスペ以上は前提ですか?

454 :名無しさん@お腹いっぱい。:02/02/17 22:04
がむばってログとってもかかるのは原理も知らずにボタン押してる厨だけだろ。
この板でlinuxで実験してみるとか言ってたのいなかったっけ?

455 :パソコン検定6級:02/02/17 22:11
パソコン準4級を受けて、早速落ちましたがなにか?

456 :名無しさん@お腹いっぱい。:02/02/17 22:17
ログ解析したら実況板みてる奴らが大量に釣れるだけかなぁ


457 :パソコン検定6級:02/02/17 22:18
P検ってなんですか?


458 :名無しさん@お腹いっぱい。:02/02/17 22:19
> がむばってログとってもかかるのは原理も知らずにボタン押してる厨だけだろ。

同感。根本的対策には全然ならん。

> この板でlinuxで実験してみるとか言ってたのいなかったっけ?

これか?
http://pc.2ch.net/test/read.cgi/unix/1013391187/165
というわけで、
http://mentai.2ch.net/test/read.cgi/accuse/1013428994/557
は、やはり夜勤の設定間違いの線が濃厚。


459 :名無しさん@お腹いっぱい。:02/02/17 22:22
>>453
DQNネスペってマジでいるしねぇ・・・
何をかくそう漏れがそうだ(藁

460 :名無しさん@お腹いっぱい。:02/02/17 22:38
やっぱそうだよな。ちゃんと設定できれば原理的に防げるはずだから。
つーことで、夜勤かひろゆきが、初心者質問スレッドで正しい設定の
方法聞けば解決ということでよろしいか?


461 :名無しさん@お腹いっぱい。:02/02/17 22:40
ひろゆき、全然危機感ないような気がするのだが。
まさか、攻撃の事知らないんじゃあ?

462 :パソコン検定6級:02/02/17 22:42
ひろゆきってどこの板にいるの?
管理人でしょ?板にでてくる事ってあるの?

463 :名無しさん@お腹いっぱい。:02/02/17 22:44
>>462
頼む、初心者板に帰ってくれないか。

464 :パソコン検定6級:02/02/17 22:48
なんで?どうしてそんな言い方するのよ!
もう嫌!出てって!帰ってよ!
そうやってこの板荒らす暇があるなら
家帰って母ちゃんのおぱーいでも
吸ってろ!この馬鹿禿げ・乳首
あほ・包茎・チンカス・帰れ!
クソ・オタンコナス・うんこ厨房が!!


465 :名無しさん@お腹いっぱい。:02/02/17 22:52
>>464
よく自分のことを把握してるな。

466 :165,420:02/02/17 22:53
>>458
一応、>>285で訂正したけど、カーネルは2.2.19でした。
勇者の実機テストキボン。

>>425の指摘は一理ある(spoofing失敗)。攻撃自体は成功する
2ch ---SYN+ACK---> NAT -> LANに存在しないIP あぼーん
同一アドレスからの連続SYNだけログ取れば大量タイーホ?
(>>443のように、ダムHUB繋いで横からフリーのIDS動かすのがイイかも)

>>420
糞作者がこれ読んでまた方式変えられると面倒だったので
書かなかったけど、まぁ、デバッガでちょっとトレースすれば解凍できるので
問題ないか。v2はAspack 1.07b(多分)。
http://linux20368.dn.net/protools/files/unpackers/2unaspack.zip

と叫んでも、2chはすぐには変わらないのですか〜?

467 :名無しさん@お腹いっぱい。:02/02/17 22:58
>>464
あんまり粘着やってると身元晒されるぞ。
攻撃のせいで随時ログ取られてるみたいだからな。

468 :名無しさん@お腹いっぱい。:02/02/17 23:01
確かwwwの方は全アクセスログ取るって夜勤氏が逝ってたな。

469 :ROMだが:02/02/17 23:39
>>465は今まででも最高難易度の切り替えしと見受けられます。

 | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
 |     100点       |
 |_________|
.     ∧∧||
    ( ゚д゚)||
    / づΦ

470 :名無しさん@お腹いっぱい。:02/02/17 23:45
>>469
465ですが、お褒めのお言葉まことに感謝いたします。

471 :425:02/02/17 23:48
自宅から、外に借りてるサーバーに、D-Born攻撃してみた。
tcpdumpで覗いてたけど、NATなADSLルータ使ってるんで、src addressは書き換わって、身元バレバレ (w

一連の攻撃は単独ではなく、お試しユーザー(w とかも多そうだけど、
NATの内側からの奴も多いだろうな・・。

お外に借りてるLinuxな待機系のサーバーがあるんで、後で試してみるかも。
障害時にリダイレクターとして動かすだけの、へなちょこサーバーなんで、
カーネルのバージョンすら不明だけど゜・・。








472 :名無しさん@お腹いっぱい。:02/02/18 00:21
>>471
なるへそ。
NAT越しに外部ホストに対してテストすれば、
SYN+ACKがいろんなホストにばらまかれたりしないので、
安心してテストできるねー。

逆に、外部ネットにパケットが出て行ける状態で内部ホストに
対して実験すると、(既出だと思うけど)SYN+ACKがランダムな
サイトにばらまかれるので、ちゅーいするモナー>実験する方

473 :名無しさん@お腹いっぱい。:02/02/18 00:25
どぼーん実行してる連中に対しての罠の張り方
思いついた(ちうかけっこう確実)んだけど
ココに書くとどぼん厨房に手の内をさらけ出すことになるので
書かない

ホントは書きたくてしょうがないんだけど、もったいぶってる
わけじゃなし、あしからず

474 :名無しさん@お腹いっぱい。:02/02/18 00:26
>473
そういう場合は、思いついた、てのも書かなきゃいい(笑)
それ書いている時点で「モタイブテル」んです。

475 :想像力なしさん:02/02/18 00:27
>>473
そんな効率的な罠のかけ方なんてないって
せいぜいbbstableを取りにくるアホを引っかけるくらいだろ

476 :名無しさん@お腹いっぱい。:02/02/18 00:27
>>473
夜勤氏にメールでもどうよ?

477 :名無しさん@お腹いっぱい。:02/02/18 00:30
このスレはエロいな

478 :473:02/02/18 00:33
ちなみに、これを実行したらどぼん厨を一網打尽できるわけではなく、
せいぜい一部を釣り上げて見せしめタイーホ(もしくはコクーソ)できる
だけっす

ポイントは、実際にDDoSに使用されているツールがひとつしかなく
どぼんの癖(ってほどでもないけど)を逆手に取ってしまうトコっす

っていうか、夜勤★さんのアドってどこに書いてあったっけ?

479 :名無しさん@お腹いっぱい。:02/02/18 00:35
この艦は美しいな。


480 :473:02/02/18 00:37
あーもうひとつ。
「効率的」じゃねーす。効果的ではあるけど。
わりとしらみつぶしに近い手法ではある。

481 :名無しさん@お腹いっぱい。:02/02/18 00:47
>478
見栄坊だから
「その方法はもう知っていました」
みたいな返答されて終わりだと思うよ(笑)

482 :名無しさん@お腹いっぱい。:02/02/18 00:56
Read.cgiの変更が気になるね。
d-bornって文字列見つけてip記録してそうだ・・

483 :名無しさん@お腹いっぱい。:02/02/18 01:00
アンカーがime.nu経由になっただけじゃないの?

484 :名無しさん@お腹いっぱい。:02/02/18 01:03
>>473
dns lookupのロギングとapacheアクセスのロギングは既出だが、
それ以外の方法にゃの?

485 :名無しさん@お腹いっぱい。:02/02/18 01:04
>>482
じゃ、あんたも記録されとるんじゃ・・・

486 :名無しさん@お腹いっぱい。:02/02/18 01:33
>>482
read.cgiはその名のとおり読むだけなんで、記録しても無意味。
変更するな書き込むがわだよな。

特定のキーワードのあるレスをip付きでロギング。
新バージョンupしたよ みたいな書き込みとか、転載したボケとかを記録する。

主犯格はproxy使うなりイソターネットカフェしてるから捕まらずに、扇動屋だけ捕まる。

487 :名無しさん@お腹いっぱい。:02/02/18 01:36
>>482
いや、もう既にSYN flood系のスレは全部IP抜かれてるだろ。
手がかりが無くとりあえずwww鯖のログとってるくらいだからな。

488 :473:02/02/18 02:21
>>484 うん、併せ技としてログ取るのはとてもゆうこうだけど
ちょっと違う方法だーな。

ただ、鯖の設定変更が少々要るから、屁熱湯じゃムリかもしれんわ

もうそろそろ寝るか

489 :名無しさん@お腹いっぱい。:02/02/18 03:14
3chにしる。

490 :名無しさん@お腹いっぱい。:02/02/18 04:44
D-Born v2.0は7F49,7F4A,7F4Dを0にすれば
チェックルーチンを回避できる

ここじゃ既出?

491 :名無しさん@お腹いっぱい。:02/02/18 07:41
>>478
癖って、効果を確かめるために、何度も攻撃しているサーバの様子見・・・
そんなところ?

自分がそうだからって他もそうだとは限らないし。
リロードしながら何度も復活をまtt

492 :名無しさん@お腹いっぱい。:02/02/18 07:42
ミスった。

リロードしながら復活をまってるヤシもいるだろうし。と。

493 :名無しさん@お腹いっぱい。:02/02/18 07:56
>>490
ここにいるのは、その気になれば同等の攻撃ツールを書き起こせるような連中。
もしくはもっと便利なツール持ってて、セキュリティチェックに使ってる。
少なくともD-Bornのクラックネタにはあまり興味ない。

しかし、2ch限定でポート80以外攻撃できないようにしてあるなんて、
ある意味で良心的だよな。

494 :名無しさん@お腹いっぱい。:02/02/18 09:37
>493
Winのクライアントで使えるSYNアタッカーは便利だから、改造したけどね。
早速自前サーバのセキュリティチェックもかねて評価してみたよ(笑)

495 :名無しさん@お腹いっぱい。:02/02/18 09:59
チェックルーチンって、たぶんstring.h系の関数使った単純なものだね。
回避するっつーか、"2ch"って文字列定数をNULL文字列にすることによって
なんでもパスできるようにするっつーか。

無能な学生の浅知恵ですが。

496 :名無しさん@お腹いっぱい。:02/02/18 10:02
>495
その通りだよ。

497 :名無しさん@お腹いっぱい。:02/02/18 11:00
>>473
偽D-Born配布してそれでタイーホとか?

498 :名無しさん@お腹いっぱい。:02/02/18 12:04
>>495
ちなみに、"2ch" -> "\n\n\n" にすると、絶対マッチしなくなって
安全ですか?

499 :名無しさん@お腹いっぱい。:02/02/18 12:30
やっぱ当たりですか。

>>498
実際やってみればわかると思います。strcmp系関数の仕様とかここで聞かれて
も即答できないんで、以降はプログラム技術板のCの質問スレにて・・・
(つーか自分ただの情報系学生だし)

ちなみに、次のバージョンから
strlen(STR) == sizeof("2ch") / sizeof(char) - 1
みたいなチェックが入る可能性も?
(こんなアホなこと考えるのって自分くらいのもんかも)

500 :498:02/02/18 12:36
>>499
条件分岐命令をNOPにすれば、強制マッチ/強制アンマッチもらくらくですか?

501 :名無しさん@お腹いっぱい。:02/02/18 13:16
>>500
"2ch"って文字列をサーチしてその部分を書き換えるだけなら簡単ですが、
条件分岐命令なんて、何処が該当部分か、初心者には見当付きませんがな。
つーか、改変したバイナリを自分で使うだけなら、そんなこと気にする必要
ないような・・・。

いじめですか?(泣

502 :名無しさん@Emacs:02/02/18 13:18
いつからd-born改造スレッドになたーんですか??

503 :名無しさん@お腹いっぱい。:02/02/18 13:25
>>493
strcmpってNULLと比較すると結果が(・∀・)イイ!!って帰ってくんのヨ
今回のはそれを逆手にとったやり方だナ


504 :500:02/02/18 13:33
>>501
すんません。ちょっといじめでした。泣かないで〜〜

505 :名無しさん@お腹いっぱい。:02/02/18 13:35
つーか、攻撃ツールくらい、バイナリ弄らなくても自分で書けばいいじゃない
ですかぁーWinsockとかのrawソケット使えば、簡単に作れるでしょうがぁー
(作ってみろなんて言わないでください。)

素人学生狩りですか?(泣

506 :名無しさん@お腹いっぱい。:02/02/18 13:35
>>502
なんつーか、SYN Floodに関する新ネタキボン。

507 :無能な学生さん(鬱:02/02/18 14:09
想像力なしさんあたり、降臨きぼーん。

つーか、バイナリ解析なんてやったことないので、strcmpなんて全くの勘です。
こんなんでも、プロになれますか?

508 :名無しさん@お腹いっぱい。:02/02/18 14:49
>>507
なれます。
他社のソフトのリバースをプロでやる人の会社って・・・

509 :名無しさん@お腹いっぱい。:02/02/18 15:10
むかしリバースしてパソコン作ったメーカーがあったよ。
関係ないのでsage


510 :名無しさん@お腹いっぱい。:02/02/18 15:19
>503
NULLとNULL文字の混同が心配されます

511 :名無しさん@お腹いっぱい。:02/02/18 16:23
>510
混同で思い出したけど近藤正臣老けたねぇ〜


512 :素人:02/02/18 16:41
IPv6導入したら、そういうのに強くならないの?

513 :名無しさん@お腹いっぱい。 :02/02/18 17:27
>>509
なつかしい話だね。すっかり忘れてたよ。

514 :名無しさん@お腹いっぱい。:02/02/18 17:31
FreeBSDに変えることくらいどって事もないだろうにな。
なんで出来ないんだろ?
攻撃age。

515 :名無しさん@お腹いっぱい。:02/02/18 17:56
>>514
サーバーを運用したままOS乗り換えについて、そこまで豪語するなら、
渡米してhe.netのSEたち首にして、自分でやってこい。


516 :名無しさん@お腹いっぱい。:02/02/18 18:08
 BSD廚って、何でもBSDにすればいいと思ってるからうざったいよなぁ。


517 :名無しさん@お腹いっぱい。:02/02/18 18:17
>>516
FreeBSD-4.5Rの実験結果(10万パケット/秒のSYNflood食らっても
平気)が出てるから、Linux厨より強気になってるのさ。

518 :名無しさん@お腹いっぱい。:02/02/18 18:32
> サーバーを運用したままOS乗り換えについて、そこまで豪語するなら、
> 渡米してhe.netのSEたち首にして、自分でやってこい。

2ch程度のシステムなら、代替サーバーが1台あればいいだけで、ごくごく
簡単じゃん。
今までも板の移動なんてしょっちゅうあるんだから、既に動いているサーバー
の1台を代替サーバーに当てればいいので、ハードウェアに必要なコストは
ゼロ。板移動の運用コストだけ。

このくらいの作業で豪語なんて言葉使っちゃいかんよ。


519 :名無しさん@お腹いっぱい。:02/02/18 18:49
>>518
運用会社の人間に移行するよう説得して機材を用意させる等の
作業をまったく考慮していない。

520 :名無しさん@お腹いっぱい。:02/02/18 18:50
he.netの人たちがlinux以外使いたがらないんじゃないの?

521 :名無しさん@お腹いっぱい。:02/02/18 19:01
>517
 実験数値をそのまま運用数値にあてはめて持ち出すなんて、Micro$oft
そっくりだよなぁ。
 ちなみに、わしはSoralis使いなんで、BSD vs. Linuxなんて目くそ鼻くそな
話はどうでもよいです。

 自慢したい余りに、できもしないBSD換装とか持ち出して、話をずらすバカが
うざったいのがわからんのかね。
 BSD自慢なら、BSD板逝ってこいよ。

 ここでの話題は「現に運用されている2chのサーバを」「業務レベルの管理
作業で」「SYN Floodに対策する」話なのだよ。
 そこいらのあんちゃんが余ったパーツでくんだマシンを入れ替える話してる
んじゃないんだからさ。


522 :名無しさん@お腹いっぱい。:02/02/18 19:07
(´-`).。oO(自分が何かやるわけでもない割にプライドだけは高い521もえ)


523 :名無しさん@お腹いっぱい。:02/02/18 19:18
>521
BSD板ってドコデスカ?

524 :名無しさん@お腹いっぱい。:02/02/18 19:19
夜勤だったりして。
日勤だったりして。

525 :名無しさん@お腹いっぱい。:02/02/18 19:25
>>523
http://www.shitaraba.com/bbs/bsd/index2.html

526 :名無しさん@Emacs:02/02/18 19:26
ところで、Solaris の対 SYN flood 性能はいかほどなものなんでしょ。
スレ違いですかね。

527 :名無しさん@お腹いっぱい。:02/02/18 19:39
>ちなみに、わしはSoralis使いなんで

ぉぃぉぃ

528 :名無しさん@お腹いっぱい。:02/02/18 20:19
(´-`).。oO(Solarisのぱちもんだろ)

529 :名無しさん@お腹いっぱい。:02/02/18 20:32
 あうっ、逝ってきます>s/ral/lar/g


530 :名無しさん@お腹いっぱい。:02/02/18 20:50
一時荒れそうになったスレがなごんだのはSoralisおかげかな
そこまで考えて typo するとは


531 :無能な学生さん:02/02/18 21:34
つい3時間前まで大学に居たが、図書館の端末、公開proxy云々でカキコ
できないやんけ!(つーかproxyなんて公開すなー)
というわけで、日中のレスは学科のLinux端末からでした。

>>510
正確には、NULL文字を先頭とするchar型配列の先頭へのポインタ、ですな(w
つーか、 "" ←これ何て言います?自分はNULL文字列って読んでますけど。
激しく板違いですな。スマソ。

>>530
そういえば、自分も先日typoを・・・。↓
http://pc.2ch.net/test/read.cgi/unix/1001393679/427
×liblary
○library

Googleで検索してみたら結構あるんですけどね。
http://www.google.co.jp/search?q=liblary&hl=ja&lr=
ついでにSoralisも。
http://www.google.co.jp/search?q=Soralis&hl=ja

532 :名無しさん@お腹いっぱい。:02/02/18 22:02
>>531
> つーか、 "" ←これ何て言います?自分はNULL文字列って読んでますけど。
わたしは勝手に「スカ」と読んでいます


533 :名無しさん@お腹いっぱい。:02/02/18 22:35
なんか攻撃だんだんひどくなってねぇか
昨日は w3m だと3回ぐらいリロードすれば読み込めたけど
さっきは全然だめたった。
例によってハゲ板のあるサーバは平気だったけど


534 :名無しさん@お腹いっぱい。:02/02/18 22:38
>>532
NULLじゃなくてNULだろ?
# いつのまに、初級C言語スレに...?

535 : :02/02/18 23:11
http://mappy.mobileboat.net/~seek/
2ch鯖監視所はこちら

536 :無能な学生さん:02/02/18 23:17
>いつのまに、初級C言語スレに...?
多分漏れのせいです。
でも、文字列はcharの配列よりstringが好きです。STLマンセー

D-Born作者がこのスレ見てたら、次のバージョンにはバイナリにエンコード
かかるかもしれませんな(w

537 :名無しさん@お腹いっぱい。:02/02/18 23:23
また重くなってたね。攻撃されてるのかな。
Proxy規制がキツくなったのも攻撃のせい?

538 :名無しさん@お腹いっぱい。:02/02/18 23:29
通信技術板にひろゆき が出てきてるから見れ


539 :名無しさん@お腹いっぱい。:02/02/18 23:30
http://pc.2ch.net/test/read.cgi/network/1013926738/l50

540 :名無しさん@お腹いっぱい。:02/02/18 23:30
SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/



541 :名無しさん@お腹いっぱい。:02/02/18 23:43
>>536
v1もv2もかかってるかかってる。
まぁ俺達にとっちゃ無意味だったけどね。

542 :名無しさん@お腹いっぱい。:02/02/18 23:53
おーい、だれか↓に応援しに来てくれ
SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/

543 :名無しさん@お腹いっぱい。:02/02/18 23:56
ひろゆきが真剣に教えて君になってるyo!




544 :名無しさん@お腹いっぱい。:02/02/18 23:59
>>543
今に始まったことじゃないよ。

545 :名無しさん@お腹いっぱい。:02/02/19 00:07
>>537
っていうかウチの職場の上流も公開串と
見なされてるのはどーいうことよ(泣

仕事中の安全な暇つぶしの一つが無くなった・・・。

# くそー、ウイスキ煽ってでも無理矢理寝よう。
# 明日は書ける・・・といいな。


546 :名無しさん@お腹いっぱい。:02/02/19 00:22
>545
2チャンネルのアドレスに対して、会社のポート80ふさぎなよ。
それで完成。

547 :あっちの39:02/02/19 00:48
こっちの人が通信板に来てくれたようで解決にむけていろんな意見がでてきたよ。
あんがとさん


548 :名無しさん@お腹いっぱい。:02/02/19 00:53
でも金がないらしい・・・

549 :あっちの39:02/02/19 00:56
予算的にPIXはきついんだろーな
いま PIXはいくらするんだろ


550 :名無しさん@お腹いっぱい。:02/02/19 01:00
K察に通報した方が早そうだけど2chとしてはそれは出来ないんだろうな・・・

551 :名無しさん@お腹いっぱい。:02/02/19 01:02
夜勤さんも来てるな

552 :あっちの39:02/02/19 01:04
議論はあっちでつづけてもらって
わらひは言いたいことは言ったのでもう寝る。
寝不足に弱いんねん。
あとはひろゆきと夜勤がなんとかすんだろ


553 :名無しさん@お腹いっぱい。:02/02/19 01:10
>>544
まあ、本職じゃないんだから、しょうがあんめーよ。
管理者としては、聞く耳を持ってるほうが重要だ。

554 :名無しさん@お腹いっぱい。:02/02/19 01:19
いま通信技術板に夜勤が居る。
FWを入れるのは、可能だそうだ。

555 :名無しさん@お腹いっぱい。:02/02/19 01:21
あっちって、ここでの1週間前の議論が繰り返されてる気がする…
高負荷時のLinuxのsyncookieは使えんというのは、
もはや前提事項になっちゃったのかなぁ。

それと、FreeBSDの場合に、そういう問題は発生しえないものなの?
誰も試した結果は出してないよね?

556 :名無しさん@お腹いっぱい。:02/02/19 01:25
>>555
いやだからLinux-PC以外の機械を置くことも可能みたいな
ことを言っているぞ夜勤は。

557 :555:02/02/19 01:28
ごめん。>>555で聞きたいのは
2chでの対応法でなくて、
LinuxとFreeBSDのsyncookieの性能差ね。
ほんとにLinuxはダメでFreeBSDならイイのか問い詰めてみたいと。

558 :名無しさん@お腹いっぱい。:02/02/19 01:29
>>557
それを実際に実験できる機会が巡ってきたかも。
とにかく通信板で夜勤をちょくせつ問い詰めて
みるべし

559 :名無しさん@お腹いっぱい。:02/02/19 01:45
FreeBSD というより DARPA&NAI lab のおかげっぽいな、、、

560 :名無しさん@お腹いっぱい。:02/02/19 02:00
>>526
明日Solaris8に向けてd-born発射してみて結果を教えてあげるYo!!
TCPのデフォルト設定と、ちょっとイジった設定と2つやってみる予定。


561 :名無しさん@お腹いっぱい。:02/02/19 02:12
>560
たのしみにしとくよ

562 :名無しさん@お腹いっぱい。:02/02/19 03:26
>>561
ターゲットが素のSolarisなんで、*BSD系みたいなことはしません(ごめんね)

イジり方向としては、Solarisの場合バックログキューのデカさが
たよりなんで、そこんところイジってみます。(qとq0のアレね)



563 :名無しさん@Emacs:02/02/19 03:48
すぃん・ふるっど

564 :名無しさん@お腹いっぱい。:02/02/19 08:17
>>563
ふらっど
http://dictionary.goo.ne.jp/cgi-bin/dict_search.cgi?MT=flood&sw=0

565 :名無しさん@お腹いっぱい。:02/02/19 10:05
>>546

漏れ下っ端なんでそこまでの権限無いです。
個人で契約している自作CGI置けるサーバーに
小一時間で作ったCGIプロクシ置いてそれ経由で
書く事にしましたが・・・。
# 認証かけたのでこれは公開じゃないぞと問いたい、問い詰めたい


566 :名無しさん@お腹いっぱい。:02/02/19 10:10
数日前からウチのお客さんが「SYN FLOOD に対するセキュリティが〜」とか
言うようになっちゃった。彼もにちゃんねらなんかな…

567 :名無しさん@お腹いっぱい。:02/02/19 10:42
>566
だろ?

568 :名無しさん@お腹いっぱい。 :02/02/19 10:55
今後、SYN FLOOD がらみのセキュリティ案件が大量に増えると思うので、
各社SEさん、営業さんは勉強しとくように。
思わぬところで金儲けのチャンス!!

569 :無能な学生さん(別にコテハンにする気はない):02/02/19 11:08
向こうのスレではだいぶ対応方法が煮詰まってるみたいですね。
SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/n289-290

で、このスレとしては、引き続きSYN floodアタックツールを使ったテストを
行う方向で。

・D-Bornの改造および攻撃テストの方法についてのまとめ
2ch以外を攻撃対象にできない制限は、バイナリエディタ等で "2ch" という
文字列に該当するところの先頭のバイトを全て 00 (NUL) に書き換えるだけ
で解除できます。チェックルーチンは、Cライブラリの文字列比較関数を
使った単純なものらしい。

テストは基本的に自分の責任の持てるサーバを対象に。NAT付きルータの内側
から攻撃を行えば、IPヘッダが正しいものに置き換えられるため、ターゲット
が外部にACK/SYNをばらまく心配が無い模様。その辺は各自工夫を。

あとはくれぐれも自己責任で。
つーか、プログラム書ける人は自分で書いて下さい。

以上でよろしいですか?

570 :名無しさん@お腹いっぱい。:02/02/19 11:11
訂正。書き換えのところの「全て」は余計でした。

571 :名無しさん@お腹いっぱい。:02/02/19 11:16
よろしいかと。
RainていうSYNフラッド系ツールなんかもあるし、探せばいっぱいあるかと思います。

572 :名無しさん@お腹いっぱい。:02/02/19 13:19
Unix Magazine に DoS ネタ出てたね。

573 :569:02/02/19 15:22
期末テスト、今やっと終わりました。プロバイダのバイトがてら、
もうちょっとこのへんのスキルを磨こうと思います。
さすがにSYN floodのテストやったら怒られそうですが(藁

残念ながら、うちにはテストできる環境がありませんもので。
(学生で自前でそういう環境整ってたらある意味恐ろしいが)

574 :名無しさん@お腹いっぱい。:02/02/19 15:26
>>573
PC 2台で十分テストできると思うが。

575 :名無しさん@お腹いっぱい。:02/02/19 15:33
>>573
VMwareかVirtualPCという手もある。

576 :名無しさん@お腹いっぱい。:02/02/19 15:36
>575
その手は桑名の焼き蛤

577 :名無しさん@お腹いっぱい。:02/02/19 15:48
>>574
うちはノート一台なので。
先輩方の研究室のネットワークを拝借するという手もありますがな(w

まあ、どっかで「セキュリティのチェックやらせてください!」とか言って
強引にテストやってこようと思います。

578 :名無しさん@Emacs:02/02/19 16:18
すなおに「2ちゃんねるの危機なんです!」って言えよ。
どうせその先輩も2ちゃんねらーだろうから巻き込んじゃえ。

579 :名無しさん@お腹いっぱい。:02/02/19 17:15
>>571
ttp://www.cotse.com/dos.htm

synful.c SYN/ACK and SYN flooder
synk4.c Random IP spoofing SYN flooder
なんかでいいのかな?

580 :名無しさん@お腹いっぱい。:02/02/19 17:32
>579
またすごいところを持ってきたね(笑)

581 :名無し:02/02/19 18:54
ヤフーのチャットで題名が『hikaru』と言うファイルをダウンロードしたら一定の時間で怖い女の人の画像が一瞬出てくるんですけどどうすればいいか教えていただけませんか?
削除しようとしたら「hikaruは削除できません。指定されたファイルはウィンドウズが使っています。」って出るんです。もし、わかる方よろしくレスお願いします。

582 :名無しさん@お腹いっぱい。:02/02/19 18:56
>>581
板違い

583 :名無しさん@お腹いっぱい。:02/02/19 18:56
怖くなくなるまで頑張ってみつづける

584 :名無しさん@お腹いっぱい。:02/02/19 19:05
>>581
こっちが適当。僕らWindowsはあまり触らないから判らないのよ(笑

スレッド立てるまでもない質問はここでvol.144
http://pc.2ch.net/test/read.cgi/pcqa/1014035890/


585 :名無しさん@お腹いっぱい。:02/02/19 19:38
>>581
別パーティションにUNIXを入れて、そっちから起動して、
Windowsパーティションをマウントして削除しれ!

この板風に言えば、こうかな。

586 :無能な学生さん:02/02/19 19:52
こういうことにしか役に立てないので、マジレスしてみる。

>>581
とりあえず、スタートメニューの「プログラム」の「スタートアップ」に
それっぽいプログラムのショートカットが追加されてたら、それを削除。
あとはとりあえず再起動して、そのプログラムを消去。OK?
もしそれでだめでも、以降ここには書かないでね。>>584のリンク先にお願い。

そういえば、漏れ高校生のころ情報処理室のPCにタキシード山本仮面を仕込んだ
ことあったっけ・・・(爆)

>>579
いただきました。

587 :579:02/02/19 20:23
>>586
ソースでお勉強してくださいまし。 敵を知り己を知らば…ってことで。
いま読んでるけど、判りやすいシンプルなソースなのね。

588 :586:02/02/19 21:04
>>586
もちろんソースで勉強してます。ソケットプログラムの書籍片手に。
ウチのPCに今Linux入れてないので、動かしてみることはできないけど、
読んでたら大体やってることはわかりました。

こういうヤヴァめのソースコード読むの好きなんで・・・

589 :588:02/02/19 21:15
自分に向けてレスしちまった。

590 :名無しさん:02/02/19 21:18
↓ガイシュツですが

106 名前:ひろゆき ◆L3IpNS4A 投稿日:02/02/19 00:56 ID:Kq3S9ZHK
うへへ。。
http://www.humanfactor.com/cgi-bin/cgi-delegate/apache-ML/nh/1997/Jun/0486.html
これってapacheにListenBacklog入れて解決ってことっすかねぇ、?


591 :560:02/02/20 01:10
今日Solaris8にd-bornブっぱなそうかと思ったら
正体不明のヤクザパケットが行ってはならないところ(詳細ひみつ)に
行ってしまってその調査に追われよったとよ。

つことで実験は今週のどこか、にします・・・なさけなや
同一セグメントだとドボーンの威力ゼロだしのぉ 実験しづらいわ

592 :名無しさん@お腹いっぱい。:02/02/20 01:15
>>591
同一セグメントでも、どぼーんしますよー。
実験もしました。
で、ヤクザパケット防止には、既出ですがNATの内側から
(結局同一セグメントじゃなくなるけど・・・)しかけるとOK。

593 :名無しさん@お腹いっぱい。:02/02/20 02:49
SYN floodの対処法
http://pc.2ch.net/test/read.cgi/network/1013926738/

こちらで、いまから公開実験開始〜。

594 :名無しさん:02/02/20 03:29
>>593
↓実験中なのに・・・・・

  494 名前:ひろゆ子@暫定管理人 ★ 投稿日:02/02/20 03:15 ID:???
  わーい。荒らせ荒らせー。


595 :名無しさん@お腹いっぱい。:02/02/20 04:06
テストにも実験にもならい物が終了しましたな。

596 :名無しさん@Emacs:02/02/20 04:09
まあいいんじゃネーノ?
この素人っぽさが以下略

597 :名無しさん@お腹いっぱい。:02/02/20 04:14
確かに素人っぽさ つーか、素人丸出し。
なんかあっちで言ってた奴いたけど、あんな貴重なテスト用リソースを無駄にして・・・。
しかもテスト要員の人件費は無料だ、羨ましいゾ!!

598 :無能な(以下略):02/02/20 10:58
公開攻撃実験お疲れ様でしたー。
実際に2chを稼動してる状態でテストしてみないと、実用に耐えうる
かどうかなんてわかりませんからね。
ま、あれはあれで良かったんじゃないですか?

ハングル板が避難所と化してアクセス集中してもkaba鯖が落ちなかった
ことから、大体イケそうな感じだと思ってましたけどね。

で、やっと解決でしょうか?

599 :名無しさん@お腹いっぱい。:02/02/20 11:04
どういう修正をしたのかいわないのは、セキュリティリスク回避じゃなくて
いえないような恥ずかしい理由だったりして。

600 :名無しさん@お腹いっぱい。:02/02/20 11:04
600

601 :名無しさん@お腹いっぱい。:02/02/20 11:04
nattoとyasaiが落ちてる。
新たな火種か?(笑)

602 :名無しさん@お腹いっぱい。:02/02/20 11:19
>>601
ハードディスク交換中

603 :名無しさん@お腹いっぱい。:02/02/20 11:40
>602
そっちか!
でももう何時間になるの?

604 :名無しさん@お腹いっぱい。:02/02/20 11:44
8時半ぐらいからだから…

605 :名無しさん@お腹いっぱい。:02/02/20 11:50
飛ばしたんじゃないの?ディスク(笑)
フォーマットしてマウントして、データコピーして構成変えてって作業か。
かかるかね?このくらいの時間。

606 :名無しさん@お腹いっぱい。:02/02/20 15:26
↓珍しく昼間のカキコ。

765 :ひろゆ子@暫定管理人 ★ :02/02/20 12:50 ID:???
総合的に推理すると、、SYNcookieらしいです。。
でもよくわからんです

607 :名無しさん@お腹いっぱい。:02/02/20 16:50
>>606
SYN cookie ONの設定が有効だったらしいです という意味かな?これ。

608 :名無しさん@お腹いっぱい。:02/02/20 17:00
>607
SYN Cookie使ったら効果あったって話でしょ?
そもそものスレッドでかぼしっしょーがずっと言い続けていたのにね。
気の毒に(笑)

609 :名無しさん@お腹いっぱい。:02/02/20 17:25
>>608
んじゃ LinuxのSYN cookiesは高負荷時にも耐えることが出来ると証明された
わけだ…。

610 :名無しさん:02/02/20 17:27
>>606
一応解説(英語だけど)
http://www.redhat.com/support/errata/RHSA-2001-142.html

611 :犬厨:02/02/20 17:44
>>609 いいこと聞いた..

612 :名無しさん@お腹いっぱい。:02/02/20 18:11
パッチ当ててなかっただけか?
しょぼい結末だな


613 :名無しさん@お腹いっぱい。:02/02/20 18:25
>>612
そう単純な話でもないのだが…。

614 :名無しさん@お腹いっぱい。:02/02/20 18:27
>>613
もったいぶらずに教えれ


615 :名無しさん@お腹いっぱい。:02/02/20 18:47
>>614
>>272-286 あたり見れ。

616 :名無しさん@お腹いっぱい。:02/02/20 18:54
これの原因は結局何だったんだろう…
--------------
507 名前:夜勤 ★ 投稿日:02/02/12 00:11 ID:???
ここでちょっと。。。
みなさんは、前回の攻撃を覚えているかしら?

519 名前:夜勤 ★ 投稿日:02/02/12 00:13 ID:???
ちゃうちゃう、 bbspink が陥落したときのこと、、、

531 名前:夜勤 ★ 投稿日:02/02/12 00:15 ID:???
その時 実は、syn_cookies いれて見たのだ。
で結果はどうだったかというと、

557 名前:夜勤 ★ 投稿日:02/02/12 00:18 ID:???
一日中誰も見えなくなったとさ。。。
we already tried syn_cookies
it didn't work. Nobody could see bbspink.com
I couldn't see it either, that is when syn_cookies were installed.
-----------------

tcp_max_syn_backlog の設定値の所為?

617 :名無しさん@お腹いっぱい。:02/02/20 19:10
>>609

うーん。
HTTPならいいけど、SMTPには syncookies は使わない方がいいと思う。
だから、提供するサービスによるのでは?

SSHもSMTPと同じく、うまく動かない例だが、こちらに syncookies を
使うのは、まあ許せる。というのは、SSHは対話的な利用がほとんど
だろうから、クライアント側がハングしても、killして再度試すという
ような対処(いわゆる運用で対処)ができるから。
(逆に言うと非対話的な用途にSSHを使っている場合は避けたほうがいい)

ところが、SMTPの場合、MTA間の接続で非対話的にも使われるから、
syncookiesを有効にしているサイトに接続しにきた相手のMTAが、コネクション
開設時に引っかかってしまう危険がある。つまり、大量のメールをさばくサイ
トでsyncookiesを使われると、そのサイトへメールを送りにくるMTAに迷惑を
かける危険がある。MUAが繋ぎにくるだけなら、特に最近のWindowsクライアント
とかなら、引っかかってもユーザーが気づいて再試行できるのでいいんだが。

サーバー側が先にしゃべるプロトコルで、かつバックエンド側で非対話的に
使われるプロトコルの場合には、syncookiesはトラブルの種、しかも相手に
迷惑をかけつつ、自分は問題に気づかないという最悪の種類のトラブルの種
だと思う。syncache だけの方がいい。

というわけで、Linuxが syncookies をデフォールトでオフにしている判断は
正しいと思うし、この点に関してはデフォールトでオンにしているFreeBSDの
判断に疑問が残るなあ。(syncache の方は、デフォールトでオンでいいんだが)


618 :609:02/02/20 19:39
>>617
丁寧にありがと。

こちら新米管理者ですが、では対Syn floodのみを考えた時には、Mail-serverは
FreeBSDで、Web-serverはLinux又はFreeBSD上での構築が望ましいということかな?
もちろん、防壁を買わずにコストを安く上げようとした場合の話だけど…。

619 :無能な(以下略 ◆IUUUUkMs :02/02/20 20:04
>>618
>Mail-serverはFreeBSDで

NetBSDもSYN cacheが使えるみたいですよ。代わりにSYN cookieの
ほうは実装されてみたいですが。
って、あっちのスレに書いてありました。

あと、Webサーバの防衛手段としてSYN cookieが比較的有効なことは
今回の公開攻撃実験をもって照明されたことですし。

620 :無能な(以下略 ◆IUUUUkMs :02/02/20 20:05
s/されてみたい/されてないみたい/

621 : ◆IUUUUkMs :02/02/20 20:07
さらにgが抜けてた

622 :細かいが:02/02/20 20:23
>>621
一回だけの置換ならgはイラネ。

623 :想像力なしさん:02/02/20 20:55
>>617
>自分は問題に気づかないという
syn-flood受けるとsyslogに出てくるから、メール通知なりトラップあげるなりすればいいんじゃない?

>Linuxが syncookies をデフォールトでオフにしている判断は正しいと思うし
syncookieがオンになるのは、syn-flood攻撃で、正常にtcpセッションが張れなくなった時のみ
smtpは、syn-cookieに関わらず、syn-flood攻撃を受けていないと接続でき、
syn-flood攻撃を受けていると接続できなくなるだけ
syn-cookieのデフォルト値は関係ない

>>618
25番port宛てにsyn-flood攻撃受けることはほとんどないだろうけど、
syn-floodのみを考えると、たしかにそのほうがいいかもね
ま、syn-cacheも完璧じゃないからあんまり過信しないように

624 :名無しさん@お腹いっぱい。:02/02/20 21:15
>>618

syn flood の心配がなきゃ、OSは、なんでもいい。:)

あと、2chのように多数のサーバーで負荷分散している場合ならサーバー側で
syn flood 対策した方がいいが、少数のサーバーで運用しているなら、商用
firewall の syn flood 対策機能に頼るってのでも問題ない。

618で書かれているように、syncache は NetBSD にもあるし、もともと BSD/OS
で開発されて公開されたものだから、当然 BSD/OS にも入っている。
Solaris 2.6 以降の tcp_conn_req_max_q0 による設定も、たぶん random drop
戦略だと思うから、syncache と同等なものだと思う。
(tcp_conn_req_max_q0 は、負荷に応じて ndd で調整する必要があるが、
チューニングが必要なのは、syncache 系の実装の場合、どれでも同じ)
だから、選択肢は FreeBSD だけじゃなくて、少なくとも NetBSD, BSD/OS,
Solaris がある。俺は Solaris と BSD/OS 以外の商用UNIXは良く知らんので、
他の商用UNIXでも大丈夫かもしれん。

それに HTTP 系のサービスなら確かに syncookies が有効だが、特有の弱点も
ある。TCP のシーケンス番号空間はあまりに狭すぎるので、syncookies が有
効だと、spoofing された IP アドレスとのコネクションが確立してしまう危
険がある。syncache ならこの危険はない。だから、syncache で負荷がさばけ
ている限り、HTTP 系であっても syncache で済ませた方が安全と言えば安全
だ。メモリさえ十分にあれば、syncache だけで、相当のところまでいける筈だ。

>>623
> syn-flood受けるとsyslogに出てくるから、メール通知なりトラップあげるな
> りすればいいんじゃない?

よそのサイトのMTAから、自サイトに接続しにきているような場合、そもそも
どのサイトから接続しにきたかというログさえ残らないので、たとえトラップ
を上げたところで、対処のしようがないだろう。

> syncookieがオンになるのは、syn-flood攻撃で、正常にtcpセッションが張
> れなくなった時のみ

ここで「デフォールトでオフ」と言っているのは、
/proc/sys/net/ipv4/tcp_syncookies がデフォールトだと 0 だってことを
指している。

> smtpは、syn-cookieに関わらず、syn-flood攻撃を受けていないと接続でき、
> syn-flood攻撃を受けていると接続できなくなるだけ
> syn-cookieのデフォルト値は関係ない

ここでは、SYN flood 下にある場合、syncache ならinitiator(==よそのサイ
ト)側のMTAがリトライしてくれることが保証できるが、syncookies だと、
その保証ができないだけでなく、最悪の場合initiator側のカーネル資源に
leakが起きる危険まであることを問題にしている。

> ま、syn-cacheも完璧じゃないからあんまり過信しないように

これは確かにその通り。
それに特にHTTPのようなサービスの場合、カーネル資源を全く消費しない
syncookiesは非常に魅力的ではある。ただ、上で書いた当てずっぽうの
シーケンス番号でコネクションを確立される攻撃がどうしても気になる。


625 :名無しさん@お腹いっぱい。:02/02/20 21:39
参考までに
FreeBSD 4.5R で syncookiesをオフにするのは次の行をスーパーユーザで実行すればいいよ
sysctl net.inet.tcp.syncookies=0


626 :名無しさん@お腹いっぱい。:02/02/20 22:14
>>624
そんなに「狭すぎる」かなあ。例えば djb がここ
http://cr.yp.to/syncookies.html
で示しているいる方式なら、
攻撃者が初期シーケンス番号を推測するのに必要な空間の
大きさが 32 ビットから 24 ビット程度になるだけだし、
FreeBSD の方式だと MSS の表現は 2 ビットに減ってるみたいだから
(違うかも) もうちょっと広いはず。

というか、24 ビットのエントロピで spoofing の危険があるなら、
32 ビットでもやっぱり危険だと言ってみるテスト。
そもそも TCP シーケンス番号の spoofing を気にする
レベルになってしまったら、ingress フィルタや
暗号学的に相手を認証するプロトコルを使うべきだと思われ。

627 :名無しさん@お腹いっぱい。:02/02/20 22:21
OpenBSDはsyncache実装されてるの?


628 :名無しさん@お腹いっぱい。:02/02/20 22:40
> そんなに「狭すぎる」かなあ。

FreeBSDだと100K SYN/sec. までOKって話があったでしょ。
このレートだと、24ビット空間を全探索するのに、2**24/100K で、
たった167.77秒しかかからない。100K SYN/sec. で実験して動いて
いたんだから、FreeBSDの場合、もうちょっと空間が広いのか、
あるいは別の安全機構があるのかもしれないけど、その辺を知らない
ので、安心できない。

しかも、実際に RHSA-2001-142 みたいな報告があるということは、
特定の実装と、特定の利用環境だと、実際にこの手を使った被害が
あるってことじゃないの?

これが32ビットだと、1日2回のまぐれ当たりのレートなので、1年〜数年に
1回くらいのリブートを見込むなら、問題にならないと思うけど。


629 :名無しさん@お腹いっぱい。:02/02/20 22:54
えと、 RHSA-2001-142 はまだ良く読んでいないんですけど
どういう対策なんでしょうか?


630 :名無しさん@お腹いっぱい。:02/02/20 23:18
> どういう対策なんでしょうか?

http://www.redhat.com/support/errata/RHSA-2001-142.html
を読んでね。

パッチのソースは読んでなくて、文章を読んだだけなんだけど、全ポートで
一斉にsyncookiesが発動するんじゃなくて、ポート毎にsyncookiesが発動する
かどうかを判断するようにしただけみたい。だから、根本的な対策をしている
わけじゃなくて、被害の範囲を狭くするだけのような気がする。

RHSAに書かれている通り、ACKが立っているパケットを素通しするような
良くある packet filtering をしている場合、このパッチを当てる前だと、
非公開なサービスまでも被害に遭うので、確かにこの対策自体は、やる
価値があるんだが。

linuxに詳しい人の解説希望。


631 :629:02/02/20 23:19
スマソ、自己完結 ↓なのね ....
615 :名無しさん@お腹いっぱい。:02/02/20 18:47
>>614
>>272-286 あたり見れ。

632 :名無しさん@お腹いっぱい。:02/02/20 23:38
> OpenBSDはsyncache実装されてるの?

されてない。syncookiesも入ってない。


633 : ◆L2oUNIXE :02/02/21 00:21
なにげにトリップを変えてみるテスト。
なんか、お勉強スレになってますね。もちろん自分もメモしてます。

634 :560:02/02/21 03:14
Solaris7と8でどぼーんを実験してみました。
7・・・同一セグメント(10base、nddはデフォルト):有意な接続遅延発生せず
8・・・ルータ4つ越え(スループット14KB/sec、nddはデフォルト):有意な接続遅延発生せず

(solaris7,8のnddのデフォルトとは、 tcp_conn_req_max_q0=1024のこと)
 
実験は下記のごとく。
・7マシン:CPU2枚×UltraSparcIII300MHz、メモリ4GB
・8マシン:CPU2枚×UltraSparcIII600MHz、メモリ4GB
・WEBサーバ:ns-httpd

・普通にHTTPを要求するクライアント:被験マシンと同一セグメント
 time echo "GET / HTTP/1.0" | telnet 被験マシン 80
 にて1GETあたりのレスポンスを計測しつつ、これを1秒おきに実行するものを用意。
 さらにそれを20多重で動作させて各々のレスポンス遅延を見る。
 単純計算で20tps程度GETの負荷がwebサーバにかかる予定 

・どぼーん:7では同一セグメント、8ではルータ4つ越し
 7マシンに向けては毎秒1000パケット程度どぼーん
 8マシンに向けては毎秒10パケット程度でどぼーん(回線遅いの)

・結果
 7での試験、8での試験ともに、
 connect-get-disconnectのレスポンスがmin10msec〜max300msecの間に落ちつく
 どぼーんあり・なしともにレスポンスの変動幅は変わらず

・不備点
 有意な差が見れなかったのが謎として残る(呼量が足りない?)
 8マシンは遠いので、フィルタリングされている可能性があるかもしれない。
 確実にSYN-FLOODを引き起こすパケットがSolarisに飛んでいて、
 なおかつSYN-ACKが届かない状況であるのか検証必要かも。


635 :560:02/02/21 03:19
>>592
情報さんくす。
でも同一セグメントで打ちこんでも何の効果もなかったんよね。
Windows2000にもやってみたんだが・・・
2chみたいに何十秒も固まらなかった
SYN-ACKが戻れないようにすればsolarisの場合発生してもいいはずかなと。

ちょっと不思議だなと思って。
で、思ったのが同一セグメントだと戻りのIP<->MAC検索サボるのかなと。
netstat -a をノンビリ眺めてたらよかったのかな。

636 :名無しさん@お腹いっぱい。:02/02/21 07:52
運営サイドから説明がまだありませんねぇ。
以下はあくまで憶測なので違うところがあったら指摘よろしく。
憶測で話すことは必ずしもいいことではありませんが、ここで技術的な意見をききたいです。

私も自宅のSol8 に synfloodをためしてみて、 Sol8は結構な耐性があることが
わかった。他の人の報告などもあわせて聞くに、次の様に対策したんではなかろうかと
思う

1. 19日以前は2ch サーバの関係するカーネルのパラメタはデフォルト値が128の
まま放置されていたサーバがあったのではないか。これならサーバによっ
て攻撃されても強いサーバ、弱いサーバがあったことの説明がつく。

特に次の2つ
socket.h : #define SOMAXCONN 128
tcp_max_syn_backlog 128
solaris8 はデフォルトこれに相当する数値がそれぞれ 1024 になっている
また、syncookie は有効でない。 synflood 対策としては最初にこのパラメタを
増やすことが効果的である。

2. 19日にこのパラメタを変更した
これだけでかなり synflood への耐性が上がる。

3. さらに SYNcookie を有効にした
ここまでで対策できた

4. RHSA-2001:142 に相当するパッチを適用してるかどうかは不明

そもそも 2chのサーバはtcp:80 だけ synflood に耐えればいいので、必ず
しもポート毎にSYNcookie を制御しなければいけないわけではない。

私は以前は 上記2 までは(サーバセッティングではほぼ常識なので)今回の
synflood騒ぎ以前に対策されていたのかと思ったが、私や他の人がsol8で実験
した結果をから考えて 実は 2ch サーバではチューニングしてなかったのでは
ないかな

長文すまん。


637 :何が何でも Solaris IA版存続を願う会2ch支部長:02/02/21 09:58
>>579をSolarisにポートしてみたりして......
# bzip2+base64
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638 :何が何でも Solaris IA版存続を願う会2ch支部長@続き:02/02/21 09:59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639 :名無しさん@お腹いっぱい。:02/02/21 11:22
 一瞬ISHかとおもった・・・とかゆってみるテスト


640 :560:02/02/21 11:47
CERTで見てみたらMicrosoftは
「2000はSYN-FLOOD大丈夫だもんね、フフン」
という声明出してた 信じられれん・・・

どぼんじゃホントに効かなかったけど。
一体ホントはどういうアルゴリズムでの防御が効くのやらこんがらがってきました。


641 :名無しさん@お腹いっぱい。:02/02/21 12:05
てことは最初にこれヤっとけやってことしとけば良かっただけジャン
夜勤が変な意地はらなきゃもっと早く解決できてたのに・・・

642 :名無しさん@お腹いっぱい。:02/02/21 12:15
これで夜勤ヘタレ説がますます濃厚に…

643 :名無しさん@お腹いっぱい。:02/02/21 14:09
>642
http://pc.2ch.net/test/read.cgi/unix/1012006720/219

自分がマシンにコミットを深めると、アメリカンな企業のhe.netは
どんどん、責任区分や業務区分を放棄していくって事なんじゃないの?

644 :636:02/02/21 18:50
まず最初にお断りしておきますが、 >>636 に書いたのは今までの経緯を元に
想像したものです。したがって本当にあのとおりだったのかどうかについては
わかりません。また知る手段もありません。

このまま今回の対応の顛末がはっきりせずに終ると物足りなさを感じます。ど
んな対策をしたのか知りたいと思います。そこ私の想像を述べ、皆さんからの
意見を聞きたいと思い書き込みをしました。

興味があるのは次の2点です。
1.高負荷な Web サーバで synflood 攻撃に対していままでどの様に対策され
ていたか、
2.今回はなんの対策が施されてそれはどの程度の効果があったのか

また、関係者とレンタルサーバ業者の間でどのようなやりとりがあったかにつ
いては当事者の問題ですし、それぞれ事情もあろうかと思います。私は関係者
を責めるつもりは毛頭ありません。はっきりいって Socialな面については興
味はありませんので。


645 :名無しさん@お腹いっぱい。:02/02/21 18:59
>このまま今回の対応の顛末がはっきりせずに終ると物足りなさを感じます。

はっきりさせたら攻撃の材料になることくらいわかれ。

646 :644:02/02/21 19:03
あ、そーか、きがつかんかった


647 :名無しさん@お腹いっぱい。:02/02/21 20:32
>>645
そこは意見が分かれる所だと思われ。

648 : ◆L2oUNIXE :02/02/21 21:33
>>637-638
こういうこと言うの非常に恐縮なんですが、激しくがいしゅつです。
ttp://www.cotse.com/sw/dos/remunix/synsol.c

自分もWindowsに移植しようと奮闘してるわけですが、サパーリ・・・
API見るだけで頭痛くなってくる。MFCも大嫌いだし。
UNIX系OSのAPIはシンプルで良いですね。

649 :名無しさん@お腹いっぱい。:02/02/21 21:42
>>648
>UNIX系OSのAPIはシンプルで良いですね。
NT/2000/XPでも、includeするヘッダファイルの名前さえ変えれば、
コンソールアプリやネットワークアプリは結構動きますよ

650 : ◆L2oUNIXE :02/02/21 22:40
>>649
そういえばWin32のAPIはBSDを元に作られてたんですっけ。

というわけで、役に立ちそうなページを発見。
ttp://www.nakka.com/lib/inet/

651 :624:02/02/21 22:41
>>560
>  有意な差が見れなかったのが謎として残る(呼量が足りない?)

うん。呼量が足りてないというので合っていると思う。
これがもし linux-2.2 のデフォールト設定が相手だったら、
tcp_max_syn_backlog が 128 しかないので、SYN flood による障害が観測で
きてただろうけど。

以下、俺の理解なので、もし間違っていたら指摘してね。

・コネクション確率待ちキューのサイズ (Solaris なら tcp_conn_req_max_q0、
 BSD/OS, NetBSD の syncache なら net.inet.tcp.syn_cache_limit、
 FreeBSD の syncache なら net.inet.tcp.syncache.cache_limit、
 Linux なら tcp_max_syn_backlog) を、M とする。
・毎秒 N 個の SYN が到着するものとする。
 また、既に SYN flood 下にあり、恒常的に SYN を drop している状況下に
 あるものとする。
・クライアント・サーバー間の RTT を t 秒とする。

random drop 戦略の場合 (Solaris は、これじゃないかなあ)
SYN が 1 つ届いた時に、drop されないですむ確率は (M-1)/M。
コネクションが確立するまでの間に届く SYN の数は N * t。
従って drop されずにコネクションが確立する確率は、
((M-1)/M) ** (N * t)。
実際には、発呼側は SYN の再送を試みる。K回再送しても
コネクションを確立できない確率は、下記の通りとなる。
(1 - ( ((M-1)/M) ** (N * t) ) ) ** K
oldest drop 戦略の場合 (伝統的実装は こちら。syncache も これ。)
SYN がキューに留まっている時間は M/N 秒。
従って t <= M/N ならコネクションは確立するし、
t > M/N だと、確立できない。

続く…

652 :624:02/02/21 22:43
560の実験の場合、M==1024、N==1000。
問題は t なんだけど、うちの LAN (100BASE-T) で計測すると、TCP の 3way
handshake にかかる時間は、1ミリ秒よりずっと小さいのね。
で、たとえば t==500μ秒==0.0005秒くらいで計算すると
random drop の場合
  drop されない確率は 0.999512 くらい。つまり、2050回に一回ぐらいの
  確率で SYN の再送が起きる。
oldest drop の場合
  0.0005 ≦ 1.024 (== 1024/1000) なので、確実にコネクションは確立する。
というわけで、t==500μ秒で、1000 SYN/秒 だと、障害は観測できないと予想できる。

RTT=1秒くらい(ちょっと長いか?)の WAN 環境の場合で計算すると
random drop 戦略の場合
・M = 1024、N = 1000 SYN/秒で、コネクションを確立できる確率は 38%
 くらい。たとえ遅延が許容できたとしても、伝統的 TCP の実装だと
 再送間隔は 6秒、12秒、24秒 で 計4回なので、(1-0.38) ** 4 == 0.15...
 つまり、15% くらいの確率でコネクション確立に失敗する。
 失敗の確率を 1% まで落とそうとすると、M = 2600 程度まで増やす必要がある。
・RTT=1秒、10000 SYN/秒 で、失敗の確率を 1% に落とそうとすると、
 M = 26000 くらい必要。100000 SYN/秒 だと M = 260000 くらいになる。
oldest drop 戦略の場合
・1000 SYN/秒なら OK。1024 SYN/秒を越えると駄目。
・t <= M/N すなわち M >= t*N を維持する必要があり、かつ t==1秒 と仮定
 しているから、M >= N という設定にする必要がある。
・FreeBSD の場合デフォールトで M=15360、NetBSD だと M=10255 なので、
 N がこれくらいのオーダーを越えるようなら、M を増やした方が良い。
 (FreeBSD の場合、デフォールト通り syncookies が有効なままならば、
  この必要はないが。)

ふむむ、なんとなく oldest drop の方が、ちょっと良い感じ。
Solaris が本当に random drop なのかどうかは確認してないので、調べた
人がいたら報告希望。


653 :624:02/02/21 22:53
> ふむむ、なんとなく oldest drop の方が、ちょっと良い感じ。

あ、これはカーネル資源の消費だけ考えた場合の話ね。

oldest drop の場合、RTTが大きい(==遠いサイト)サイトは、SYN flood下
だと、どう頑張っても接続できない結果になるのに対し、random drop だと
そういう場合でも時々は接続できるので、random と oldest の どちらを
選択するかは結局、純粋にポリシーの問題。


654 :560:02/02/22 01:31
>>624
う 酔っぱなので半分くらいしか式の意味を実装レベルに落せてないが、
おおまかにはそんなもんなのね?

Internet上のwebサービスっていう側面を考えると、
伝送損失による到着率低減をもう少し見こんでもいいかなとは
思うものの・・・私の試験環境はちょっと劣悪だったかもね 認めます。
(バックログ:q0側 が1024コだから、毎秒20コ送ったとして50秒あれば
 陥落するかなと思ったのね。ちと考えが甘かったか)

ところで652の・の1つめはM=2600じゃなくてN=2600じゃないの?
(FIFOだから、うまいことベラディーの法則が効くとすると、
 呼量 < バックログが成り立つとは思うけど)

netstat-Iの結果は、同一セグメント上のsolaris7で打ったとき、
で1000/sec程度だった。
どぼーんを複数クライアントから実験しないと、
solarisを陥落できない、というのはうまく説明がついてるので、
説明は大筋あってると思われ。(精査してないから大筋、とします スマソ)
x2.6だから3クライアントからどぼーんやればイイっつーことか。

そこまでおおっぴらにできるかどうか不明だが・・・ちょっと頑張るわ。

655 :624:02/02/22 02:42
> ところで652の・の1つめはM=2600じゃなくてN=2600じゃないの?

いや、M=2600のつもり。
キューの長さが短いと、コネクション確立の確率(言いにくいから、
ここからはコネクション成功確率と書こう)が下がり、
キューの長さが長くなると、コネクション成功確率は上がるわけで、
RTT=1秒、M=1024の場合だと (100%-15%)=85% の成功確率しかないものを、
成功確率99%まで上げるにはどうするかを求めているわけだから、
当然必要なキューの長さは長くなる。

> x2.6だから3クライアントからどぼーんやればイイっつーことか。

いや、LANで試すなら、3クライアントぐらいじゃ症状は出ないと思う。
この成功確率38%(==再送も含めた場合の成功確率85%)っていうのは、
RTT=1秒とかなり長めの場合の話ね。
RTTが短くなれば短くなるほど成功確率は高くなり、SYN flood 障害が
観測できる可能性は減る。RTT=0.5ミリ秒のLAN環境で、成功確率を
90%まで下げるには、20万SYN/秒くらい必要になる。これは100BASE-T
では、そもそも実験すらできないんじゃないかな。

成功確率を下げるには、呼の回数を増やす以外に、RTTを増やすという
手もあって、こっちの方がたぶん簡単だと思う。

> そこまでおおっぴらにできるかどうか不明だが・・・ちょっと頑張るわ。

RTTが関係するのはクライアントとサーバー間だけで、SYN flood attack
をかける側のRTTは関係ないので、実行するのなら、サーバーと
同一LAN環境から SYN flood をかけて、遠方のクライアントからの
接続を試みるのがいいと思う。


656 :名無しさん@お腹いっぱい。:02/02/22 10:54
>>655
そういえば、某 ML で遅延を簡単に作り出せる箱とかが話題になって
いたけど、この手の実験にも便利に使えそうだね。

657 :名無しさん@お腹いっぱい。:02/02/22 12:12
サイトへの大量データ攻撃、自動検知し防御・慶大が新技術

 慶応義塾大学の松下温教授らは、インターネットのサイトに大量のデータを送りつけてサービスを不能
 にするサイバー攻撃を防ぐ技術を開発した。
 大量のデータが送られるのを自動的に検知して不正データをせき止め、被害を最小限に抑えるという。
 開発したのはネットワーク上で電話交換機の役割をする中継機器(ルーター)に組み込むプログラム。
 大量のデータが一定時間流れるなど、あらかじめ設定した不正とみなす条件をルーターが検出すると、
 データのあて先と種類などの属性をネットワークの管理コンピューター(サーバー)に送る。サーバーは
 ネット上の全ルーターに属性情報とデータ流入をせき止めるプログラムを送る。ルーターは不正なデータ
 だけをせき止め、通常のデータは通過させる。
 新技術は多数のコンピューターからいっせいにデータを送る大規模攻撃に対して特に威力を発揮する。
 これまではサイトが個別に侵入検知システムを設置していたが、大規模攻撃を防ぐのは難しかった。

 http://it.nikkei.co.jp/it/top/topCh.cfm?id=20020221eimi243121

とのことですが、IP偽装のSYN floodに対しては無力そうですね。

658 :名無しさん@お腹いっぱい。:02/02/22 13:16
>>657
Smurfとかには有効でしょう。

659 :名無しさん@お腹いっぱい。:02/02/22 20:17
>>636

> 1. 19日以前は2ch サーバの関係するカーネルのパラメタはデフォルト値が128の
>  まま放置されていたサーバがあったのではないか。
> tcp_max_syn_backlog 128
> これだけでかなり synflood への耐性が上がる。

これって、linux-2.2 までだと、まずいんじゃない?
linux/net/ipv4/tcp_ipv4.c:tcp_v4_search_req() を読めばわかるけど、
linux-2.2 系って、backlog の検索に linear search を使っているから、
backlog を長くすれば長くするだけ、カーネルのCPU負荷が上がってしまう。

syncookieの計算負荷なんて、たかだか定数コストだけど、linux-2.2 上での
backlog 検索の負荷は、651の用語で書くと O(M*N) だから、syncookie の計
算コストよりも、ずっとカーネルにかかるCPU負荷が大きい。

だから、linux-2.2 系で HTTPサーバーをやっているなら、tcp_max_syn_backlog
は増やさずに、さっさと syncookies にまかせた方がいいと思う。

linux-2.4 系は、ハッシュを使うように変わったから、こっちだと
tcp_max_syn_backlog を増やしてもいいけど。


660 :659:02/02/22 21:22
> syncookieの計算負荷なんて、たかだか定数コストだけど

あ、ちょっと間違えた。
次の行の O(M*N) で N を使っているから、この観点だと、
syncookieの計算負荷は O(N) でした。

もっとも結論は変わらないけど。
SYN flood 攻撃を受けてなくても tcp_max_syn_backlog が溢れてるのなら、
もちろん tcp_max_syn_backlog を増やす必要があるんだけど、
SYN flood 攻撃で溢れるような状況であれば、linux-2.2 だったら
tcp_max_syn_backlog は増やすべきじゃなくて syncookies に任せた方がいい。

なんか283と同じこと言っているだけだな。


661 :名無しさん@お腹いっぱい。:02/02/22 21:27
>>659
線型に計算量が増えるんなら O(N) だと思うが。

662 :661:02/02/22 21:27
うが、既に訂正された後だったかいな。

663 :軍事版住民:02/02/22 21:49
名前: 軍事版住民
E-mail:
内容:
あるFRASH見たのですが、8・25のとき2CHを救ってくれたのは
あなた方だったんですね、まだ2CH歴史も浅い私ですが、尊敬の意をこめてをこめて、

敬礼


664 :名無しさん@お腹いっぱい。:02/02/22 21:55
>>663
まだやるか?っつーかネタか?春蟲か?
 (おっ、はからずも俳句:季語入り)

665 :名無しさん@お腹いっぱい。:02/02/22 22:45
 あぁ、なんかあちこちに軍事板住人騙って煽りカキコ&コピペして、
他の板と軍事板を衝突させようと画策してるバカがいるみたい。
 それの新手でしょ。

 こういう人間SYN floodもdropできないもんかなぁディラックの海へ


666 :名無しさん@お腹いっぱい。:02/02/22 22:51
今だ!666ゲットォォォォ!!
 ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄       (´´
     ∧∧   )      (´⌒(´
  ⊂(゚Д゚⊂⌒`つ≡≡≡(´⌒;;;≡≡≡
        ̄ ̄  (´⌒(´⌒;;
      ズザーーーーーッ



667 :名無しさん@お腹いっぱい。:02/02/23 00:55
>>665
マクセルの悪魔どまりだからムリでしょう


668 : ◆L2oUNIXE :02/02/23 19:37
>>665
それを言ってしまえば、2t
ニュース速報板で、韓国の掲示板にサイバーテロ
予告をでっち上げ、瞬く間に2ちゃんねる中に広がった事件あったですね。
満州事変みたいなやつですな。アンチ韓国なN速厨の火を付けたと。

669 :名無しさん@お腹いっぱい。:02/02/23 19:39
>668
>アンチ韓国なN速厨の火を付けたと。
アンチ韓国なN速厨に火を付けたと。じゃない?

670 : ◆L2oUNIXE :02/02/23 19:39
ミスった。
ノートPCでカキコなのだが、タッチパネルを殺しておくべきですね。

671 :名無しさん@お腹いっぱい。:02/02/23 19:49
>670
不便だよねタッチパネル。

672 :名無しさん@お腹いっぱい。:02/03/10 07:39
>>671
BIOSメニューやコントロールパネルで無効に出来る機種だと
簡単に切れていいね

673 :age2ch.pl:02/03/10 08:34
>>1 itteyoshi

674 :名無しさん@お腹いっぱい。:02/03/20 23:08
韓国氏ね                

675 :名無しさん@お腹いっぱい。:02/03/22 01:58
へたれ  

676 :Dream ★:02/03/24 23:36
「monazillaツールと課金及び転送量・鯖負荷問題を考えるスレ」
http://kaba.2ch.net/test/read.cgi/accuse/1016974669/l50
【2ちゃんねるビューア】 巡回機能の巻。Part3
http://pc.2ch.net/test/read.cgi/software/1016905060/l50

この二ヶ所でいま、対策なんかの話をやっています。
お力添えいただける方はお願いします。

677 :名無しさん@お腹いっぱい。:02/04/06 02:10
>42
(((( ;゚Д゚)))ガクガクブルブル

678 :名無しさん@お腹いっぱい。:02/04/06 02:11
うわっ誤爆してる…ウツダシノウ

679 :名無しさん@お腹いっぱい。:02/04/13 15:02
さげ

680 :名無しさん@お腹いっぱい。:02/08/21 02:31
 (( ∩ )) プルプルプル
  γ'⌒ヽ∧ ∧
   し'ゝつ( ゚Д゚)つ

681 :名無しさん@お腹いっぱい。:02/09/25 20:04
とりあえずsageとく

682 :FROM就職板:02/10/18 22:16
質問させていただきます。
ここの住民が2CHを救ったという話は本当ですか?

683 :名無しさん@Emacs:02/10/18 22:17
>>682 氏ね


684 :名無しさん@お腹いっぱい。:02/10/18 22:25
>>682
嘘です犬板の住民が救いました。

685 :名無しさん@Emacs:02/10/18 22:30
>>684
その通りです。
http://pc.2ch.net/linux/ へ行ってスレッド立ててください :)

686 :山崎渉:03/01/16 04:05
(^^)

687 :名無しさん@お腹いっぱい。:03/03/15 18:46
サムい

688 :山崎渉:03/04/17 12:18
(^^)

689 :山崎渉:03/04/20 06:10
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

690 :山崎渉:03/05/22 02:23
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

691 :あぼーん:あぼーん
あぼーん

692 :山崎 渉:03/07/15 11:29

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

693 :あぼーん:あぼーん
あぼーん

694 :あぼーん:あぼーん
あぼーん

695 : :04/03/07 19:00
保守

696 :名無しさん@お腹いっぱい。:04/03/07 19:04
保守はsageでもできますよsage

697 :名無しさん@お腹いっぱい。:04/03/07 19:08
>>1の韓国2ch攻撃予告から
約二年後に攻撃があったな。すげえ偶然。

698 : :04/03/08 10:53
それは二回目の攻撃でしょ(F5団

184 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)