X

2ch特化型サーバ・ロケーション構築作戦 Part35

■ このスレッドは過去ログ倉庫に格納されています
2009/10/03(土) 00:21:13ID:+Xf0YYVs0
2ch特化型サーバ・ロケーション構築作戦のスレッドです。

・2ちゃんねるのサーバロケーション、PIEに関する関連作業・調整事項
・DNS登録・変更関連の各種作業や調整事項
・2ちゃんねるのサーバで採用しているOS、FreeBSDに関する情報・調整事項
・各種作戦・プロジェクトとの連携、プロジェクト間の連携

等を取り扱います。

前スレ:
2ch特化型サーバ・ロケーション構築作戦 Part34
http://qb5.2ch.net/test/read.cgi/operate/1250495550/
307動け動けウゴウゴ2ちゃんねる
垢版 |
2009/10/17(土) 14:07:35ID:gTa/sdRP0
+   +
  ∧_∧  +
  (0゚・∀・) ワクワクテカテカ
  (0゚∪ ∪ +
  と__)__)   +
308root▲▲ ★
垢版 |
2009/10/17(土) 14:09:35ID:???0?DIA(112883)
これまでにPIEでフィルタしたIPアドレスは、
以下の通りとのこと。

115.136.47.184
222.100.151.36
121.147.138.97
222.100.151.36
125.135.82.2
220.116.55.69
125.135.82.2
121.187.224.228
220.116.55.69
118.39.9.59
124.51.28.141
309root▲▲ ★
垢版 |
2009/10/17(土) 14:13:19ID:???0?DIA(112883)
length 4000 の UDP パケットか。
典型的な帯域埋め尽くし攻撃ってやつで。

なんだかなぁ。
もう少しこう、頭使った巧みな方法を使ってみるとか(違うか)。
2009/10/17(土) 14:17:31ID:gTa/sdRP0
すべてkrですた

これだけ違って
124.51.28.141
netname: Xpeed-KR
descr: LG POWERCOMM

後はすべて Korea Telecom




なんだかなぁ・・・・
2009/10/17(土) 14:17:31ID:NOa87PYTP
>>308
すべて韓国さんですな
312root▲▲ ★
垢版 |
2009/10/17(土) 14:20:07ID:???0?DIA(112883)
IPアドレス詐称もしてないみたい。
単純に何らかのDoSツールぶん回しっぽいですね。

なんかこう、技術的にみるべきものがない、
単なる力技ってのもいかがなものかと。
313root▲▲ ★
垢版 |
2009/10/17(土) 14:28:54ID:???0?DIA(112883)
今も続いている攻撃元のIPアドレスをPIEに連絡した。
2009/10/17(土) 14:30:36ID:erLteMkv0
え?
315root▲▲ ★
垢版 |
2009/10/17(土) 14:31:12ID:???0?DIA(112883)
どうも隣の国方面からでほぼ決定みたいですが、
何かそんな出来事でもあったんですかね。
2009/10/17(土) 14:34:01ID:BEjP5Uvo0
なんかヨーロッパで
「昔は東海だったのを日本人が日本海に変えたんだ」
って主張を覆す資料が出てきたとかなんとか
317root▲▲ ★
垢版 |
2009/10/17(土) 14:35:44ID:???0?DIA(112883)
帯域埋められたら意味ないけど、
とりあえずwwwでごにょごにょしてみた。
318root▲▲ ★
垢版 |
2009/10/17(土) 14:36:59ID:???0?DIA(112883)
>>317
done.
319動け動けウゴウゴ2ちゃんねる
垢版 |
2009/10/17(土) 14:37:39ID:TBG5DVFW0
>>316
ワロスw
320動け動けウゴウゴ2ちゃんねる
垢版 |
NGNG?2BP(3)
>>315
??? >>288達がよく攻撃しているから???

???  女子フィギアスケートで1・2・3位で競ってるから???
2009/10/17(土) 14:40:02ID:bgjE/sJP0
石原都知事のコップ、売ります ソウル市が記念品競売
http://www.asahi.com/international/update/1015/TKY200910150475.html

こんな記事しか見つからない。いらんもの贈りつけた腹いせかなー。
322root▲▲ ★
垢版 |
2009/10/17(土) 14:41:07ID:???0?DIA(112883)
IPアドレス詐称の可能性はまだ残っていますね。>>320

しかし状況証拠や来る経路から考えて、ほぼ決定っぽいかなと。
2009/10/17(土) 14:41:35ID:NOa87PYTP
無駄なデータが太平洋を渡って……
ああもったいない

韓国旅行突撃スペシャルVANK
http://yutori7.2ch.net/test/read.cgi/news4vip/1255275523/
【こんどこそ】10月17日(土)VANK凸スレ【チョンをつぶす】
http://yutori7.2ch.net/test/read.cgi/news4vip/1255672529/
【こんどこそ】10月17日(土)VANK凸スレ【チョンをつぶす】
http://yutori7.2ch.net/test/read.cgi/news4vip/1255702364/
韓国の掲示板からきましたよwwww
http://yutori7.2ch.net/test/read.cgi/news4vip/1255702060/

返り討ち?
2009/10/17(土) 14:43:42ID:qyPgZGl70?2BP(3)
>>322
なんか教科書問題とか いろんな事含めて 

>>288達がよく攻撃しているから】 

   2chが 標的とされてしまってるんじゃないかと・・・
325root▲▲ ★
垢版 |
2009/10/17(土) 14:43:50ID:???0?DIA(112883)
毎回毎回技術的に見るものがない力技のみで来て、
それへの対応でいろんな人が時間とられて、
(私は所詮趣味だから問題なし)
で、報復合戦(?)が起こる、ってのもなんか、
とっても不毛だなと。
326root▲▲ ★
垢版 |
2009/10/17(土) 14:46:32ID:???0?DIA(112883)
>>317-318 が効果あった?

ううむ、どういうこと?
2009/10/17(土) 14:46:58ID:3ftv4de+0
一部のために全体が被害受けるのもなんだかなぁ。
328root▲▲ ★
垢版 |
2009/10/17(土) 14:51:21ID:???0?DIA(112883)
中の人からの情報によると、
今回のDDoSの規模は1Gbps超えの模様。

ちなみに、すべてcobra2246向け。
329root▲▲ ★
垢版 |
2009/10/17(土) 14:52:35ID:???0?DIA(112883)
ふむ、、、。

少し検証してみるか。
330root▲▲ ★
垢版 |
2009/10/17(土) 14:53:37ID:???0?DIA(112883)
ごにょごにょ @ cobra2246 をいったん解除。
331root▲▲ ★
垢版 |
2009/10/17(土) 15:01:26ID:???0?DIA(112883)
>>313 でお願いしたIPアドレス:

222.239.39.95
116.126.109.30
332root▲▲ ★
垢版 |
2009/10/17(土) 15:05:11ID:???0?DIA(112883)
今のところおさまっているっぽいのかな。
観察継続中。
2009/10/17(土) 15:06:01ID:m1MBU5v00
>>331

KRNIC is not an ISP but a National Internet Registry similar to APNIC.
The IPv4 address is allocated and still held by the following ISP,
or its Whois information is not updated after assigned to end users.

Please contact following ISP for further information.

[ ISP Organization Information ]
Org Name : SK Broadband Co Ltd
Service Name : broadNnet
Org Address : Seoul Namdaemunno 5(o)-ga Jung-gu


KRNIC is not an ISP but a National Internet Registry similar to APNIC.
The following is organization information that is using the IPv4 address.

IPv4 Address : 116.126.96.0-116.126.111.255
Network Name : HANANET-INFRA
Connect ISP Name : broadNnet
Registration Date : 20080507
Publishes : Y
334動け動けウゴウゴ2ちゃんねる
垢版 |
2009/10/17(土) 15:07:59ID:gTa/sdRP0
222.239.39.95  → 222.232.0.0/13
116.126.109.30 → 116.126.0.0/16

descr: Hanaro Telecom, Inc.
country: KR

BOTNETですかね
結構あちこちからの悪寒?
335root▲▲ ★
垢版 |
2009/10/17(土) 15:13:57ID:???0?DIA(112883)
>>334
こんな特徴からして、
Botnetからというのはありうる話ですね。

今回のは、

・UDPで4000Octetのパケットを送りつけてくる
・IPアドレス詐称はしていない
・攻撃はわかっているだけでも10IPアドレス以上
・すべてcobra2246 = www.2ch.netが標的
・一点集中で1.2Gbps以上(cobra2246は100Mbpsしかないのでひとたまりもない)
・止む時はぴたりと止む

こんなかんじの模様。
336root▲▲ ★
垢版 |
2009/10/17(土) 15:15:19ID:???0?DIA(112883)
>>293 を元に戻すのは、
週明け以降、落ち着いてからということで。

menu.2ch.net を別サーバに分割するほうがいいかも。
2009/10/17(土) 15:17:19ID:6MJV83pb0
通院ってrootさん何かあったんですか!?2chよりrootさんが心配だよ…
2009/10/17(土) 15:21:00ID:CdwLDMV90
なるほど、1.2Gbpsでリクエストが着ているのにCobra2246は100Mbpsだからパケロスしてたのか。
339root▲▲ ★
垢版 |
2009/10/17(土) 15:25:30ID:???0?DIA(112883)
>>338
そもそも1.2Gbps(*1)も来たら、
PIEの持っている回線やエッジスイッチ(*2)の能力自体にも
影響が出るかも。

(*1)確認できたのが1.2Gbpsというだけで、もっと来ている可能性大
(*2)コアルータはさすがに丈夫だろうけど、周辺のスイッチまでが全部そうとは限らない
というか1.2Gbpsの*入力*というのは、顧客用スイッチでは想定していないかも。
340root▲▲ ★
垢版 |
2009/10/17(土) 15:28:17ID:???0?DIA(112883)
いまのうちに tcpdump したデータ(DDoS時)を、
別サーバに保存するか。じっくり解析で。
2009/10/17(土) 15:29:39ID:m1MBU5v00
仮にBotnetだとしたら、アクセス元がKRだらけだったってことは、主に韓国人をターゲットにしたウイルスが原因かな?
そうじゃなきゃ余所の国からのアクセスがあってもおかしくない

それか司令者が何らかの意図をもってKRに割り当てられたホストのみに攻撃を命じたか
2009/10/17(土) 15:29:54ID:CdwLDMV90
>>339
そうだったのか。
補足thx
343root▲▲ ★
垢版 |
2009/10/17(土) 15:32:51ID:???0?DIA(112883)
tcpdumpでみた典型的なパターン:

22:26:07.457038 IP 116.126.109.30.3041 > 206.223.154.230.80: UDP, length 4000
22:26:07.457184 IP 116.126.109.30 > 206.223.154.230: udp
22:26:07.457334 IP 116.126.109.30 > 206.223.154.230: udp
22:26:07.457479 IP 116.126.109.30 > 206.223.154.230: udp

こんなかんじのが大量。
2009/10/17(土) 15:35:41ID:BswCzRg60
光ファイバ(DSM)1心の帯域が2.4Gbpsだったっけ。
いまどきはMDMとかで多重化しているとは思うけれども。。。

生で触って多少曲げた程度でロスが出てたよなぁ@遠い目
345root▲▲ ★
垢版 |
2009/10/17(土) 15:36:02ID:???0?DIA(112883)
>>337
ちと、悪性の風邪(インフルエンザは陰性)で、
体全体がギシギシと痛くて。

ロキソニンほか、5種類ぐらい処方してもらってきた。
346root▲▲ ★
垢版 |
2009/10/17(土) 15:37:06ID:???0?DIA(112883)
>>344
今は普通のEthernetで10Gbpsとか40Gbpsですからね、、、。
2009/10/17(土) 15:39:37ID:CdwLDMV90
回線細いね。
レンタル屋だったら仕方ないか。
348root▲▲ ★
垢版 |
2009/10/17(土) 15:45:54ID:???0?DIA(112883)
>>347
細いというより、、、。

PIEが持っている対外回線の太さは私にはわかりませんが、
一般的には、DoSは「する方」がどんどん有利な状況になっていますね。

日本だと自宅に100Mbpsとかいうのは当たり前だし、
韓国などでもそのへんの事情は大同小異です。
(実はアメリカのほうがそのへんは遅れている。今だにADSL、しかも遅い)

で、そんな状況でも太いほうの標準規格は40Gbpsとかしかないし、
ようやく100Gbpsができたとか、そんなかんじで。
もちろん横に並べて使ったりとかするわけですけど。

そんなわけで、普通に使うぶんには問題ないけど、
ひとたびDDoSとなると、そのへんがもろに。
2009/10/17(土) 15:46:28ID:BswCzRg60
>>344
×MDM
○WDM
波長分割多重化ですた。。。

>>345
ロキソニンと云えばムコスタも♪
・・・お大事にですです。

>>346
5分割から20分割ですかー
λ=1.55μmはもう不変なんだなぁ。。。
2009/10/17(土) 15:48:20ID:6MJV83pb0
>>345
そうでしたか…インフルエンザじゃなくて良かったです。
風邪のときの関節痛は辛いですよね、くれぐれもご自愛ください。
2009/10/17(土) 15:51:16ID:4WY9tSAQi
>>341
あちらでは、アクチ解除済み割れOSにBOTを仕込んで再配布・・・なんて話を聞いたことががが
2009/10/17(土) 15:52:55ID:gTa/sdRP0
ネカフェとか?




と勝手に推測
日本よりセキュリティ甘そうだからなぁ(・ω・`)
2009/10/17(土) 15:53:26ID:CdwLDMV90
>>348
つまり、DoSは複数から来るのに受け側は1つだけだとどんなに帯域があっても足りないということですね。

きついですなぁ。
354動け動けウゴウゴ2ちゃんねる
垢版 |
2009/10/17(土) 15:55:24ID:gTa/sdRP0
まだ来てはいる見たいけど
落ち着いたみたいね

cobra2246.maido3.com
http://traffic.maido3.com/tOZN/fWWv/Aahn/

しっかしすごいなw
355root▲▲ ★
垢版 |
2009/10/17(土) 15:56:29ID:???0?DIA(112883)
>>353
> DoSは複数から来るのに受け側は1つだけだとどんなに帯域があっても足りない

そうですね。

Akamaiのシステムみたいに広域でロードバランスするとか、
ルートやJPのDNSサーバのように、IPエニーキャストするとかして、
受け側も複数にする方向性が流行りの様子。
2009/10/17(土) 15:57:38ID:XNt7RmFb0
IDSやIPSは?
2009/10/17(土) 16:02:41ID:NOa87PYTP
>>353 えーと
http://yutori7.2ch.net/test/read.cgi/news4vip/1255702364/188
358root▲▲ ★
垢版 |
2009/10/17(土) 16:03:05ID:???0?DIA(112883)
>>356
そのへん(検知系)は、もちろん重要かと。
で、検知したらどうするのかってかんじで。
2009/10/17(土) 16:03:49ID:IEqBVB2S0
あちらの国では日本ではとても認可されないような
タダ乗りソフトが付属した高Wの無線LANアダプタも出回っているから
そういうの活用していろいろゴニョゴニョすれば、、、、
360root▲▲ ★
垢版 |
2009/10/17(土) 16:05:14ID:???0?DIA(112883)
9月に行ったICNの空港も、
公式サービスが「無料」「WEPなし」だったし、
そういうの結構多いのかも。
2009/10/17(土) 16:10:55ID:yHIUSxUj0
>>341
おいらが聞いた話だと、Virusいうか自主的に招き入れてるとか何とか
2chでも白血病対策ってやってるでしょ?
あれの対日攻撃版というか・・・
しかもそれに協力するのが愛国心だと思ってるから始末に負えない
2009/10/17(土) 17:01:14ID:9BPJgWR8P
http://yutori7.2ch.net/test/read.cgi/news4vip/1255710284/817-818
ここが気になるようだね。
こっちからの攻撃も影響するのか?
ま、向こうも反撃するしな・・・
2009/10/17(土) 17:04:08ID:9BPJgWR8P
http://yutori7.2ch.net/test/read.cgi/news4vip/1255710284/820+822
うーん
夜八時半にやるらすい
2009/10/17(土) 17:07:25ID:ctqjFiXr0
ここではシステム的な話題から離れすぎないように
2009/10/17(土) 17:37:27ID:E8ySS1oN0
個人だってだそうと思えば10GbEスイッチルータ買えますからねえ(100万最近切ったような)
サービスをガッツリ絞るしかないのかな
366最低王子 ◆Qmmrw71pqY
垢版 |
2009/10/17(土) 19:44:11ID:TBi/EaFGO
今の2ちゃんは自殺andバカ韓国サイトと化してるから、
もう閉鎖で良いよ


ただの殺人サイトだ
367最低王子 ◆Qmmrw71pqY
垢版 |
2009/10/17(土) 19:47:17ID:TBi/EaFGO
バカチョン共もここを狙えよ(笑)


どうも毎回毎回自作自演くさい


2ちゃんには韓国人が関わってるからな



2009/10/17(土) 19:51:55ID:E8ySS1oN0
find.2ch.net っていまどうなってる? パケロスするんだが
2009/10/17(土) 19:59:12ID:XNt7RmFb0
pingは通るね>find
370最低王子 ◆Qmmrw71pqY
垢版 |
2009/10/17(土) 20:05:23ID:TBi/EaFGO
こんな事する暇があるなら、
さっさとメンヘルサロン板を閉鎖しろカス
2009/10/17(土) 20:07:46ID:W5tjWmUm0
.krと.chからのアクセスを永久規制ってのは出来ないのか?
2009/10/17(土) 20:11:07ID:KyCYnptD0
>>371
何度目だこの話
韓国や中国はIPにリモホを割り当ててないのが多いから効果ゼロ
2009/10/17(土) 20:14:17ID:XNt7RmFb0
ip rangeで国判別できるよ
2009/10/17(土) 20:26:46ID:5qotx6Pi0
GeoIPとか
2009/10/17(土) 20:35:52ID:w9p6dSVi0
じゃ、ここで、やってるみたいに弾いてるのは無意味なん?
http://pc11.2ch.net/test/read.cgi/mysv/1201798057/
376[03] ◆MUMUMUhnYI
垢版 |
2009/10/17(土) 20:40:17ID:JJQIvePG0
帯域が溢れちゃったら、
サーバ側ではどうしようもないですね。

PIEのルータで必要に応じて止めるしかないかと。
2009/10/17(土) 20:41:19ID:???O
>>375
全部が全部逆引きできないわけじゃないし、
そもそもIP帯が*分かっているなら*効果あるような。

# .chってどこだろ?
378ょぅι゙ょの見物人 ◆YoJo69//rM
垢版 |
2009/10/17(土) 20:45:30ID:n/vhRdFX0
>>377
それに「2」をつけてみればわかりますよ。
2009/10/17(土) 20:47:00ID:zWkAOInP0?PLT(89004)
>>293
あー、menuの所変えたんですな。
どうりでー
2009/10/17(土) 20:52:48ID:AFWMMn4H0
ちょっと聞きたいんですけど>>335
>IPアドレス詐称はしていない
っていうのはどういう事ですか?
UDPだと発信元のIPが攻撃者の物かどうかは受信側からじゃ区別がつかないんじゃ?
2009/10/17(土) 20:58:06ID:vJwJyG3C0
>>316
VIPが先に攻撃したとかしないとか
あと、韓国の強姦事情を日本人がリポートしたとかそういうのも

つか、あの国はいつでも何かがありますねw
2009/10/17(土) 20:59:28ID:Iqdu+M2r0
>>371-372
お土産にどうぞ
http://happy.70.kg/text/kr.list
2009/10/17(土) 21:00:19ID:BswCzRg60
IP 詐称するんだったら、10.* とか127.*とかにするのが常套的かなぁと。。。
わざわざ.krをターゲットにするのはかなり手が込んでいるのではないかと。
2009/10/17(土) 21:06:55ID:Wl3TcNoX0
ああ、そういう事ですか。言われてみればそうですね。
納得できましたありがとうございます
2009/10/17(土) 21:15:57ID:XnH+Jqqw0
韓国って本当にしょうもないな・・
386root▲▲ ★
垢版 |
2009/10/17(土) 21:19:08ID:???0
>>380
そのとおりですね。< 受信側では詐称を区別できない

今回のは状況証拠からですね。
ルータにどっち「方面」からやってきたか、とか。
2009/10/17(土) 21:19:36ID:D6VuXhxv0?PLT(18491)
>>380
>>322と言っているので
IPは偽装できても経路は詐称できないから「ほぼ確定」って感じらしいですね
2009/10/17(土) 21:23:10ID:D6VuXhxv0?PLT(18491)
出遅れたし
2009/10/17(土) 21:24:16ID:4hslohk50
どっち方面からやってきたでわかるんだ。そーなんだ。
2009/10/17(土) 21:26:18ID:vJwJyG3C0
消防署の方からやってきました
391最低王子 ◆Qmmrw71pqY
垢版 |
2009/10/17(土) 21:41:27ID:TBi/EaFGO
2ちゃんはさっさと潰れて良いよ
2009/10/17(土) 21:42:51ID:BswCzRg60?BRZ(10106)
JASRACの方から、、、
をっとお呼びではなかったか。。。
2009/10/17(土) 21:43:16ID:D6VuXhxv0?PLT(18491)
>>389
韓国と日本(やその他)が別々のバックボーンを使用していて
PIE自体がそのバックボーンと別々の回線で接続していればだけどね。
2009/10/17(土) 21:52:18ID:1otxqeEs0
UDPでL=4000とか来るのって、もう異常パケットとして
ルーターにフィルタかけて弾いてもいいんじゃない?
2009/10/17(土) 21:57:33ID:XNt7RmFb0
UDPだとソースポート偽装とかソースポートランダマイズとかされたら終わりだけどな
それより大量のアクセス来たらその方向に帯域絞るのが一番な予感
2009/10/17(土) 21:58:26ID:XNt7RmFb0
s/アクセス/UDPでのアクセス/
2009/10/17(土) 22:00:29ID:P8miRDPY0
絞るとはいっても絞る前に絞られてたら絞れないわけです。
2009/10/17(土) 22:53:47ID:7ixEppju0
http://www.2ch.net/_service/20091017.txt
2009/10/17 22:30:00 LA=10:30PM up 8:32, 2 users, load averages: 11.07, 28.16, 15.00
2009/10/17 22:40:00 LA=10:40PM up 8:42, 2 users, load averages: 17.81, 109.67, 74.99
2009/10/17 22:50:00 LA=10:50PM up 8:52, 2 users, load averages: 0.28, 14.31, 36.58

何かやってた人がいるみたいですね
2009/10/17(土) 23:06:57ID:EUhaV9JB0
フィギュアスケートのGPシリーズ第1戦フランス杯
浅田真央 VS 金妍児(韓国)

韓国からのDoS攻撃(今シーズン始まり?)
2ch VS DoS(韓国)

どちらも先制攻撃されました

この組み合わせ好きだねー
2009/10/17(土) 23:09:25ID:ctqjFiXr0
このスレでどっちが先だとかそういうのやめてくれないかなあ
2009/10/17(土) 23:35:07ID:hBD5ZDJk0
つうかなんで裁判にもってかんの。ただの犯罪だろうが。
402最低王子 ◆Qmmrw71pqY
垢版 |
2009/10/18(日) 00:17:05ID:0Use5xoqO



2channel Attack Point

    ↓↓↓


http://qb5.2ch.net/operate/index.html


2009/10/18(日) 01:25:48ID:AIaX8Pse0
>>377
cnの間違いだろ
chはスイスな
2009/10/18(日) 01:35:06ID:flN7w/xtP
cnは中国(人民の方)な
2009/10/18(日) 18:30:09ID:aAn3SaJ50
数分前、全部繋がらなかったけど
中で何かしたのかな
2009/10/20(火) 20:15:40ID:39IeyImF0
http://www.maido3.com/server/zousan/nikki129.html
バージョン上がるごとにスコアが落ちてるのは気のせい?>FreeBSD
2009/10/20(火) 20:34:56ID:adyWiFeK0
RCだから気にしない
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。

ニューススポーツなんでも実況