« 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その6)2つの社説 韓国中央日報と毎日新聞 | トップページ | 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その8)さきほど11:30よりまた攻撃が始まった→撃退完了 »

2010-03-04

3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その7)なぜ2ちゃんねるのサーバ以外も被害を被ったか 首謀者は2ちゃんねるのサーバがアメリカ西海岸にあることを認識した上で攻撃のゴーサインを出した疑い

今日の早朝に、2ちゃんねるのrootさんが、2ch特化型サーバ・ロケーション構築作戦 Part36で、
 今回のサイバー攻撃の特徴と今後の課題
について、書き込んでいったので、転載しておく。


251 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 01:15:45 ID:KeclpSyT0
>>249
今回はrootさんは出番無しですか?

252 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 01:17:10 ID:N4YCEiCK0 ?PLT(91344)
入院すんでしょ?程々に~

今のところこんな感じですんで明日でインジャマイカ
http://ula.cc/phoenix/

256 :root▲▲ ★:2010/03/03(水) 01:23:28 ID:???0
(略)
>>251
きょうび流行の(そしてたぶん今回のも)、有無を言わせず帯域全体をつぶされる系のDDoSだと、サーバ側ではどうしようもないですね。

ただ、今後同じことが起きた場合に(それはいつでもありえるかと)、例えばPIEの他の顧客が巻き添えにならないようにするにはどうすればいいのか、とか、PIEとして、2ちゃんねるとして、系全部が死なないようにするには、どうするのがいいのか、みたいなことは、少しは検討しておいてもいいのかもしれないのかもな、と。

254 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 01:19:53 ID:wHXZfImh0
>>249
・2証があっぷあっぷです。もっと鋭敏な方法の導入を
・今後のkrなIPからのアクセス過多な捌きを回線屋さん頼みだけで大丈夫なのかの議論

260 :root▲▲ ★:2010/03/03(水) 01:31:09 ID:???0
>>252-253
どもです。了解です。
片肺だったサーバ、ちょっと心配かも。

>>254
上: mod_dosevasiveを入れようかなと思いつつ、現在に至る。
下: >>256

で、こうした巨大DDoSの影響をさまざまな手法でmitigateすることは、現在の検討課題としてはかなり面白いはずなので、iDCとかISPとかのサービスとしてそれが実現できるのであれば、 大きなビジネスチャンスなんじゃないかなと。

266 :root▲▲ ★:2010/03/03(水) 01:43:18 ID:???0
で、寝る前に適当に書いておこうかと。

今回のは、

上流(複数ある) =★= PIE

の、★の部分を全部埋め尽くされたのが負けの原因なわけで、

・埋め尽くされないようにする
・埋め尽くされても全部が止まらないようにする

というのが、何らかの対応策の方向性、ということになるのかなと。

で、今回のがどうだったのかは分析待ちだと思いますが、2003年あたりから始まった隣の国方面からの攻撃は、年を追って進歩してきています。

最初は単純な httpd (TCP port 80)への手動っぽい高アクセスでした。いわゆる F5で、それがツールにより自動化され、で、ツールが進化して httpd に大量のデータを送りつけるようになり、次に、フィルタされた後の繋ぎ替えを覚えました。
ここまでは「サーバに負荷をかけてつぶす」方向性でした。

で、「ボボンハウス」とかに案内されるようになり、
それを見て日本が負けたと思った、なんて笑い話もあったわけでう。

(続く)

269 :root▲▲ ★:2010/03/03(水) 01:51:53 ID:???0
(続き)

最近の流行は、帯域を埋め尽くす方向性です。
UDPででかいデータ(4000バイトぐらい)を送りつけるパターンが流行しています。
最初はIPアドレスとして生々しい韓国からのアドレスを使っていましたが、だんだんと詐称するようになりました。(UDPだとIPアドレスの詐称は容易です)

で、これは、最初からサービスをつぶすのが目的なので、やるほうも当然DNSなんか参照せず、IPアドレスで直接攻撃してきます。
だから、サーバを止めても攻撃の手はゆるまないことが多く、サーバだけを止めても、あまり意味がありません

で、詐称に加え、最近だとbotを使って、より計画的にDDoSをするようになってきました。
これだと、コマンド一つで数GのDDoSを多方面からかけるのも、お茶の子さいさいです。
で、韓国からコントロールできるbotに入ってしまっているPCが仮に日本にあれば、日本からもDDoSがPIEにいくことになります。
もちろんその発信元IPアドレスは詐称されているかもしれません。

あと、最近だと実際のサーバのIPアドレスを狙うのではなくて、その近辺というか、そのサービスが入っているiDCのIPアドレスブロックをくまなく狙うタイプのDDoSも存在します。
ようは、www.2ch.net = 206.223.154.230 をつぶしたい場合、
206.223.154.230 そのものではなく、
206.223.154.0/24 や 206.223.144.0/20 にくまなくDDoSを送ってくるパターンです。

で、最終的に >>266 のように、その iDC の出口を全部埋め尽くすことができてしまえば、 その iDC にハウジングしているサイト(2ch)をつぶすことができるわけです。

271 :root▲▲ ★:2010/03/03(水) 01:52:56 ID:???0
ということで、ここまでなぐりがき。

おふろ入ってねるです。そんでは。

273 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 01:53:41 ID:FfdpyYbN0
おやすみなさーい
俺も寝る

274 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 01:54:21 ID:rlp2lV9oP
>>271
乙でした

275 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 01:54:33 ID:arrEA/mfP
お休みなさい
お大事に

288 :root▲▲ ★:2010/03/03(水) 02:48:51 ID:???0
お風呂あがり。

ひとこと付け加えておくと、
>>266-271 あたりに書いた攻撃パターンの進化では、パターンが「変化する」のではなく「付け加わっていく」ということが重要です。

つまり、攻撃方法が進化することにより、F5さんやhttpd大量送りつけさん達が「いなくなる」のではなく、新たな攻撃方法が「付け加わっていく」ことになるです。

そんではねるです。
(以下略)

今回は、
 PIEの他のサーバを守るために電源を引っこ抜くという非常措置
が取られたようだ。


313 :遥かなる ◆qoWYVH0fIY :2010/03/03(水) 13:10:12 ID:EaN+0YTC0
>>311
お疲れ。

あの状況で「強制電源」断をすれば、確かにHDDに異常をきたすかもしれない。
しかしながら、他のサーバにも影響が広がっており、仕方の無いものと解釈している。

314 :root▲▲ ★:2010/03/03(水) 13:11:16 ID:???0
>>305
少なくとも science6/society6/academy6/dso な banana3260 は、
サーバを落とさず、ネットワークケーブルの抜き差しで対応した模様。
(以下略)

315 :root▲▲ ★:2010/03/03(水) 13:13:38 ID:???0
>>313
個人的には >>314 で対応すれば、
電源ぶっちすることはなかったんじゃないかな、に一票ですが、
緊急時にどうするかのポリシーの問題かも、とも。

で、他にも異常を起こしているサーバがあるかもしれないので、
今上がっている各サーバとりあえず見て回ってみます。
(本業しながらなので、少し遅くなる予定)

321 :遥かなる ◆qoWYVH0fIY :2010/03/03(水) 13:22:38 ID:EaN+0YTC0
>>315
次回への教訓にしようと思う。とりあえず、その時間帯に対応できる人員が少なかったためだろうと思う。
日本時間では、午後1時~午後5時30分だけど・・西部標準時では、明け方という手薄な時間を狙われた
システム的に対処できれば良いのだけれども、物理的に対処することになったのは残念。

「遙かなる」さんの321番の発言を見ると
 首謀者は「西海岸にサーバがあることを十分認識してサイバーテロを起こした」
と疑われる。つまり
 最初からアメリカ企業へのサイバーテロを計画していた
ということになる。
 日本のサーバへの攻撃のつもりだったのに、アメリカのサーバを攻撃してしまった
のではなく
 日本のサーバへの攻撃を装いつつ、最初からアメリカ西海岸で保守に一番手薄な時間を狙ってアメリカ西海岸にあるサーバの攻撃命令を出した
ということだ。これはかなり悪質。

で、結果的に
 dubai鯖がお亡くなり
になりました。2ch サーバーダウン(鯖落ち)情報 part277スレッドより。


809 :動け動けウゴウゴ2ちゃんねる:2010/03/03(水) 18:57:42 ID:RDffa35e0
2010年3月3日 18時57分
dubai 死亡

843 :マァヴ ◆jxAYUMI09s :2010/03/03(水) 18:59:23 ID:2ZOGj63rI ?2BP(6021)
dubai壊れた(^_^;)代替機用意中

ちなみにdubai鯖に置かれていた板は次の通り。


969 : ◆Ekiin.fehU :2010/03/03(水) 19:05:45 ID:pydNF2zg0
消防・救急・防災 街作り・都市計画 名言・格言 皇室・王侯貴族
方言 株式 米・米加工品 家電等量販店
レンタル ファッション 香水・芳香・消臭 60歳以上
独身男性 テレビサロン テレビ番組 テレビドラマ
時代劇 ラジオ番組 海外テレビ ケーブル放送
スカパー BS・地上波デジタル NHK 広告・CM
芸能 海外芸能人 懐かし芸能人 男性俳優
女優 U-15タレント あみ&あゆ 椎名林檎
モ娘(羊) モ娘(鳩) 男性アイドル ジャニーズ
スマップ ジャニーズ2 ジャニーズJr 競馬
家ゲーZ区分 アケゲーレトロ ハード・業界 ネトゲ実況
ヴィジュアルサロン ヴィジュアルバンド レゲエ なんでもあり
モ娘(狼) 新記録・珍記録


これだけの板が死んでしまいました

NHKの悪行の数々が綴られたNHK板を含むdubai鯖死亡でほっとしてるのは協会職員かも。データオールロストだそうで。レスキューはdatから個人的にどうぞ。

|

« 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その6)2つの社説 韓国中央日報と毎日新聞 | トップページ | 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その8)さきほど11:30よりまた攻撃が始まった→撃退完了 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/109312/47721669

この記事へのトラックバック一覧です: 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その7)なぜ2ちゃんねるのサーバ以外も被害を被ったか 首謀者は2ちゃんねるのサーバがアメリカ西海岸にあることを認識した上で攻撃のゴーサインを出した疑い:

« 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その6)2つの社説 韓国中央日報と毎日新聞 | トップページ | 3.1独立運動記念日に連動した2ちゃんねるサイバー攻撃(その8)さきほど11:30よりまた攻撃が始まった→撃退完了 »