2ch特化型サーバ・ロケーション構築作戦 Part35

**動け動けウゴウゴ２ちゃんねる** · 2009/10/03(土) 00:21:13

2ch特化型サーバ・ロケーション構築作戦のスレッドです。

・２ちゃんねるのサーバロケーション、PIEに関する関連作業・調整事項
・DNS登録・変更関連の各種作業や調整事項
・２ちゃんねるのサーバで採用しているOS、FreeBSDに関する情報・調整事項
・各種作戦・プロジェクトとの連携、プロジェクト間の連携

等を取り扱います。

前スレ:
2ch特化型サーバ・ロケーション構築作戦 Part34
http://qb5.2ch.net/test/read.cgi/operate/1250495550/

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 14:43:42

>>322
なんか教科書問題とか　いろんな事含めて　

【>>288達がよく攻撃しているから】　

　　　２chが　標的とされてしまってるんじゃないかと・・・

**root▲▲ ★** · 2009/10/17(土) 14:43:50

毎回毎回技術的に見るものがない力技のみで来て、
それへの対応でいろんな人が時間とられて、
(私は所詮趣味だから問題なし)
で、報復合戦(?)が起こる、ってのもなんか、
とっても不毛だなと。

**root▲▲ ★** · 2009/10/17(土) 14:46:32

>>317-318 が効果あった?

ううむ、どういうこと?

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 14:46:58

一部のために全体が被害受けるのもなんだかなぁ。

**root▲▲ ★** · 2009/10/17(土) 14:51:21

中の人からの情報によると、
今回のDDoSの規模は1Gbps超えの模様。

ちなみに、すべてcobra2246向け。

**root▲▲ ★** · 2009/10/17(土) 14:52:35

ふむ、、、。

少し検証してみるか。

**root▲▲ ★** · 2009/10/17(土) 14:53:37

ごにょごにょ @ cobra2246 をいったん解除。

**root▲▲ ★** · 2009/10/17(土) 15:01:26

>>313 でお願いしたIPアドレス:

222.239.39.95
116.126.109.30

**root▲▲ ★** · 2009/10/17(土) 15:05:11

今のところおさまっているっぽいのかな。
観察継続中。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:06:01

>>331
上
KRNIC is not an ISP but a National Internet Registry similar to APNIC.
The IPv4 address is allocated and still held by the following ISP,
or its Whois information is not updated after assigned to end users.

Please contact following ISP for further information.

[ ISP Organization Information ]
Org Name : SK Broadband Co Ltd
Service Name : broadNnet
Org Address : Seoul Namdaemunno 5(o)-ga Jung-gu

下
KRNIC is not an ISP but a National Internet Registry similar to APNIC.
The following is organization information that is using the IPv4 address.

IPv4 Address : 116.126.96.0-116.126.111.255
Network Name : HANANET-INFRA
Connect ISP Name : broadNnet
Registration Date : 20080507
Publishes : Y

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:07:59

222.239.39.95 　→　222.232.0.0/13
116.126.109.30　→　116.126.0.0/16

descr: Hanaro Telecom, Inc.
country: KR

ＢＯＴＮＥＴですかね
結構あちこちからの悪寒？

**root▲▲ ★** · 2009/10/17(土) 15:13:57

>>334
こんな特徴からして、
Botnetからというのはありうる話ですね。

今回のは、

・UDPで4000Octetのパケットを送りつけてくる
・IPアドレス詐称はしていない
・攻撃はわかっているだけでも10IPアドレス以上
・すべてcobra2246 = www.2ch.netが標的
・一点集中で1.2Gbps以上(cobra2246は100Mbpsしかないのでひとたまりもない)
・止む時はぴたりと止む

こんなかんじの模様。

**root▲▲ ★** · 2009/10/17(土) 15:15:19

>>293 を元に戻すのは、
週明け以降、落ち着いてからということで。

menu.2ch.net を別サーバに分割するほうがいいかも。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:17:19

通院ってrootさん何かあったんですか！？2chよりrootさんが心配だよ…

◆9pzWfut.Os · 2009/10/17(土) 15:21:00

なるほど、1.2Gbpsでリクエストが着ているのにCobra2246は100Mbpsだからパケロスしてたのか。

**root▲▲ ★** · 2009/10/17(土) 15:25:30

>>338
そもそも1.2Gbps(*1)も来たら、
PIEの持っている回線やエッジスイッチ(*2)の能力自体にも
影響が出るかも。

(*1)確認できたのが1.2Gbpsというだけで、もっと来ている可能性大
(*2)コアルータはさすがに丈夫だろうけど、周辺のスイッチまでが全部そうとは限らない
というか1.2Gbpsの＊入力＊というのは、顧客用スイッチでは想定していないかも。

**root▲▲ ★** · 2009/10/17(土) 15:28:17

いまのうちに tcpdump したデータ(DDoS時)を、
別サーバに保存するか。じっくり解析で。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:29:39

仮にBotnetだとしたら、アクセス元がKRだらけだったってことは、主に韓国人をターゲットにしたウイルスが原因かな？
そうじゃなきゃ余所の国からのアクセスがあってもおかしくない

それか司令者が何らかの意図をもってKRに割り当てられたホストのみに攻撃を命じたか

◆9pzWfut.Os · 2009/10/17(土) 15:29:54

>>339
そうだったのか。
補足thx

**root▲▲ ★** · 2009/10/17(土) 15:32:51

tcpdumpでみた典型的なパターン:

22:26:07.457038 IP 116.126.109.30.3041 > 206.223.154.230.80: UDP, length 4000
22:26:07.457184 IP 116.126.109.30 > 206.223.154.230: udp
22:26:07.457334 IP 116.126.109.30 > 206.223.154.230: udp
22:26:07.457479 IP 116.126.109.30 > 206.223.154.230: udp

こんなかんじのが大量。

◆TWARamEjuA · 2009/10/17(土) 15:35:41

光ファイバ(DSM)１心の帯域が2.4Gbpsだったっけ。
いまどきはMDMとかで多重化しているとは思うけれども。。。

生で触って多少曲げた程度でロスが出てたよなぁ＠遠い目

**root▲▲ ★** · 2009/10/17(土) 15:36:02

>>337
ちと、悪性の風邪(インフルエンザは陰性)で、
体全体がギシギシと痛くて。

ロキソニンほか、5種類ぐらい処方してもらってきた。

**root▲▲ ★** · 2009/10/17(土) 15:37:06

>>344
今は普通のEthernetで10Gbpsとか40Gbpsですからね、、、。

◆9pzWfut.Os · 2009/10/17(土) 15:39:37

回線細いね。
レンタル屋だったら仕方ないか。

**root▲▲ ★** · 2009/10/17(土) 15:45:54

>>347
細いというより、、、。

PIEが持っている対外回線の太さは私にはわかりませんが、
一般的には、DoSは「する方」がどんどん有利な状況になっていますね。

日本だと自宅に100Mbpsとかいうのは当たり前だし、
韓国などでもそのへんの事情は大同小異です。
(実はアメリカのほうがそのへんは遅れている。今だにADSL、しかも遅い)

で、そんな状況でも太いほうの標準規格は40Gbpsとかしかないし、
ようやく100Gbpsができたとか、そんなかんじで。
もちろん横に並べて使ったりとかするわけですけど。

そんなわけで、普通に使うぶんには問題ないけど、
ひとたびDDoSとなると、そのへんがもろに。

◆TWARamEjuA · 2009/10/17(土) 15:46:28

>>344
×MDM
○WDM
波長分割多重化ですた。。。

>>345
ロキソニンと云えばムコスタも♪
・・・お大事にですです。

>>346
5分割から20分割ですかー
λ=1.55μｍはもう不変なんだなぁ。。。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:48:20

>>345
そうでしたか…インフルエンザじゃなくて良かったです。
風邪のときの関節痛は辛いですよね、くれぐれもご自愛ください。

◆NAO/2MXDEk · 2009/10/17(土) 15:51:16

>>341
あちらでは、アクチ解除済み割れOSにBOTを仕込んで再配布・・・なんて話を聞いたことががが

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:52:55

ネカフェとか？

と勝手に推測
日本よりセキュリティ甘そうだからなぁ（・ω・｀）

◆9pzWfut.Os · 2009/10/17(土) 15:53:26

>>348
つまり、DoSは複数から来るのに受け側は1つだけだとどんなに帯域があっても足りないということですね。

きついですなぁ。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:55:24

まだ来てはいる見たいけど
落ち着いたみたいね

cobra2246.maido3.com
http://traffic.maido3.com/tOZN/fWWv/Aahn/

しっかしすごいなｗ

**root▲▲ ★** · 2009/10/17(土) 15:56:29

>>353
> DoSは複数から来るのに受け側は1つだけだとどんなに帯域があっても足りない

そうですね。

Akamaiのシステムみたいに広域でロードバランスするとか、
ルートやJPのDNSサーバのように、IPエニーキャストするとかして、
受け側も複数にする方向性が流行りの様子。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 15:57:38

IDSやIPSは?

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 16:02:41

>>353 えーと
http://yutori7.2ch.net/test/read.cgi/news4vip/1255702364/188

**root▲▲ ★** · 2009/10/17(土) 16:03:05

>>356
そのへん(検知系)は、もちろん重要かと。
で、検知したらどうするのかってかんじで。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 16:03:49

あちらの国では日本ではとても認可されないような
タダ乗りソフトが付属した高Wの無線LANアダプタも出回っているから
そういうの活用していろいろゴニョゴニョすれば、、、、

**root▲▲ ★** · 2009/10/17(土) 16:05:14

9月に行ったICNの空港も、
公式サービスが「無料」「WEPなし」だったし、
そういうの結構多いのかも。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 16:10:55

>>341
おいらが聞いた話だと、Virusいうか自主的に招き入れてるとか何とか
2chでも白血病対策ってやってるでしょ？
あれの対日攻撃版というか・・・
しかもそれに協力するのが愛国心だと思ってるから始末に負えない

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 17:01:14

http://yutori7.2ch.net/test/read.cgi/news4vip/1255710284/817-818
ここが気になるようだね。
こっちからの攻撃も影響するのか？
ま、向こうも反撃するしな・・・

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 17:04:08

http://yutori7.2ch.net/test/read.cgi/news4vip/1255710284/820+822
うーん
夜八時半にやるらすい

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 17:07:25

ここではシステム的な話題から離れすぎないように

**名無し的用法** ◆v20hUhbxpM · 2009/10/17(土) 17:37:27

個人だってだそうと思えば10GbEスイッチルータ買えますからねえ(100万最近切ったような)
サービスをガッツリ絞るしかないのかな

**最低王子** ◆Qmmrw71pqY · 2009/10/17(土) 19:44:11

今の２ちゃんは自殺andバカ韓国サイトと化してるから、
もう閉鎖で良いよ

ただの殺人サイトだ

**最低王子** ◆Qmmrw71pqY · 2009/10/17(土) 19:47:17

バカチョン共もここを狙えよ(笑)

どうも毎回毎回自作自演くさい

２ちゃんには韓国人が関わってるからな

**名無し的用法** ◆v20hUhbxpM · 2009/10/17(土) 19:51:55

find.2ch.net っていまどうなってる？パケロスするんだが

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 19:59:12

pingは通るね>find

**最低王子** ◆Qmmrw71pqY · 2009/10/17(土) 20:05:23

こんな事する暇があるなら、
さっさとメンヘルサロン板を閉鎖しろカス

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:07:46

.krと.chからのアクセスを永久規制ってのは出来ないのか?

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:11:07

>>371
何度目だこの話
韓国や中国はIPにリモホを割り当ててないのが多いから効果ゼロ

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:14:17

ip rangeで国判別できるよ

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:26:46

GeoIPとか

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:35:52

じゃ、ここで、やってるみたいに弾いてるのは無意味なん？
http://pc11.2ch.net/test/read.cgi/mysv/1201798057/

**[03]** ◆MUMUMUhnYI · 2009/10/17(土) 20:40:17

帯域が溢れちゃったら、
サーバ側ではどうしようもないですね。

PIEのルータで必要に応じて止めるしかないかと。

◆SUAMA.Cbav5m **＠SUAMA ★** · 2009/10/17(土) 20:41:19

>>375
全部が全部逆引きできないわけじゃないし、
そもそもIP帯が＊分かっているなら＊効果あるような。

# .chってどこだろ？

**ょぅιﾞょの見物人** ◆YoJo69//rM · 2009/10/17(土) 20:45:30

>>377
それに「2」をつけてみればわかりますよ。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:47:00

>>293
あー、menuの所変えたんですな。
どうりでー

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:52:48

ちょっと聞きたいんですけど>>335の
＞IPアドレス詐称はしていない
っていうのはどういう事ですか？
UDPだと発信元のIPが攻撃者の物かどうかは受信側からじゃ区別がつかないんじゃ？

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 20:58:06

>>316
VIPが先に攻撃したとかしないとか
あと、韓国の強姦事情を日本人がリポートしたとかそういうのも

つか、あの国はいつでも何かがありますねw

◆NAO/2MXDEk · 2009/10/17(土) 20:59:28

>>371-372
お土産にどうぞ
http://happy.70.kg/text/kr.list

◆TWARamEjuA · 2009/10/17(土) 21:00:19

IP 詐称するんだったら、10.* とか127.*とかにするのが常套的かなぁと。。。
わざわざ.krをターゲットにするのはかなり手が込んでいるのではないかと。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 21:06:55

ああ、そういう事ですか。言われてみればそうですね。
納得できましたありがとうございます

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 21:15:57

韓国って本当にしょうもないな・・

**root▲▲ ★** · 2009/10/17(土) 21:19:08

>>380
そのとおりですね。< 受信側では詐称を区別できない

今回のは状況証拠からですね。
ルータにどっち「方面」からやってきたか、とか。

♪ ◆/y.Ychk2JQ · 2009/10/17(土) 21:19:36

>>380
>>322と言っているので
IPは偽装できても経路は詐称できないから「ほぼ確定」って感じらしいですね

♪ ◆/y.Ychk2JQ · 2009/10/17(土) 21:23:10

出遅れたし

◆TIGOI/DrzHH9 · 2009/10/17(土) 21:24:16

どっち方面からやってきたでわかるんだ。そーなんだ。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 21:26:18

消防署の方からやってきました

**最低王子** ◆Qmmrw71pqY · 2009/10/17(土) 21:41:27

２ちゃんはさっさと潰れて良いよ

◆TWARamEjuA · 2009/10/17(土) 21:42:51

JASRACの方から、、、
をっとお呼びではなかったか。。。

♪ ◆/y.Ychk2JQ · 2009/10/17(土) 21:43:16

>>389
韓国と日本（やその他）が別々のバックボーンを使用していて
PIE自体がそのバックボーンと別々の回線で接続していればだけどね。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 21:52:18

UDPでL=4000とか来るのって、もう異常パケットとして
ルーターにフィルタかけて弾いてもいいんじゃない？

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 21:57:33

UDPだとソースポート偽装とかソースポートランダマイズとかされたら終わりだけどな
それより大量のアクセス来たらその方向に帯域絞るのが一番な予感

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 21:58:26

s/アクセス/UDPでのアクセス/

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 22:00:29

絞るとはいっても絞る前に絞られてたら絞れないわけです。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 22:53:47

http://www.2ch.net/_service/20091017.txt
2009/10/17 22:30:00 LA=10:30PM up 8:32, 2 users, load averages: 11.07, 28.16, 15.00
2009/10/17 22:40:00 LA=10:40PM up 8:42, 2 users, load averages: 17.81, 109.67, 74.99
2009/10/17 22:50:00 LA=10:50PM up 8:52, 2 users, load averages: 0.28, 14.31, 36.58

何かやってた人がいるみたいですね

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 23:06:57

フィギュアスケートのＧＰシリーズ第１戦フランス杯
浅田真央 VS 金妍児(韓国)

韓国からのDoS攻撃(今シーズン始まり？)
2ch VS DoS(韓国)

どちらも先制攻撃されました

この組み合わせ好きだねー

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 23:09:25

このスレでどっちが先だとかそういうのやめてくれないかなあ

**動け動けウゴウゴ２ちゃんねる** · 2009/10/17(土) 23:35:07

つうかなんで裁判にもってかんの。ただの犯罪だろうが。

**最低王子** ◆Qmmrw71pqY · 2009/10/18(日) 00:17:05

２channel Attack Point

　　　　↓↓↓

http://qb5.2ch.net/operate/index.html

**動け動けウゴウゴ２ちゃんねる** · 2009/10/18(日) 01:25:48

>>377
cnの間違いだろ
chはスイスな

**止まれ止まれトマトマ２ちゃんねる** · 2009/10/18(日) 01:35:06

cnは中国（人民の方）な

**動け動けウゴウゴ２ちゃんねる** · 2009/10/18(日) 18:30:09

数分前、全部繋がらなかったけど
中で何かしたのかな

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 20:15:40

http://www.maido3.com/server/zousan/nikki129.html
バージョン上がるごとにスコアが落ちてるのは気のせい?>FreeBSD

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 20:34:56

RCだから気にしない

◆TWARamEjuA · 2009/10/20(火) 20:45:24

なぁんかホスト名が出ているよなぁ。。。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 20:54:56

何の話ッスか？

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 21:09:43

>>408
IPアドレスの範囲なんか、以下で組織名を株式会社ゼロにして検索すれば分かるんだし問題ないんじゃ?
http://www.nic.ad.jp/ja/whois/ja-gateway.html

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 21:11:04

…ルータのログが外部から見れるけど良いのかなこれ

◆NAO/2MXDEk · 2009/10/20(火) 21:12:05

とてもおーぷんです

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 21:16:11

2001年製っぽいからセキュリティ弱そうなルータだな。
各種動作情報→NAT/NAPT情報以外は悪用できない気はするけどどうだろ。

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 21:45:13

18っと。。。

◆TWARamEjuA · 2009/10/20(火) 21:58:00

何となくバージョンが、、、
最新のはVer.2.51らしいけれども、、、

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 22:20:24

これなんの障害だろう
ttp://www.maido3.com/server/eq/diary/day_10.html
ttp://www.maido3.com/server/eq/diary/day_14.html

**動け動けウゴウゴ２ちゃんねる** · 2009/10/20(火) 22:28:15

ただ単にデータぶっ飛びじゃね？

● ◆SUAMA.Cbav5m · 2009/10/20(火) 22:28:16

画像がサイケデリックなことに。。。

◆TWARamEjuA · 2009/10/20(火) 23:30:45

Paint.NET V3.30ってなんだろう。。。

● ◆SUAMA.Cbav5m · 2009/10/20(火) 23:32:42

>>419
つhttp://www.getpaint.net/

**root▲▲ ★** · 2009/10/21(水) 11:25:08

menu をいったん cobra2246 に戻すます。
banana201 のは cobra2246 のミラーなので、
書き換えても元に戻ってしまう。

menu と www は将来的には分ける方向かなと。

**root▲▲ ★** · 2009/10/21(水) 11:56:10

>>421
done.

**動け動けウゴウゴ２ちゃんねる** · 2009/10/21(水) 12:38:10

>>421
乙です。

取得するとやっぱりsjisになるなぁ