アカウント名:
パスワード:
別に顧客がDDOS受けようが構わないだろ。それも含めて商売だろうに何やってんだ。仮想ホスティング系なら正々堂々と、消費したリソースでお金取ればいい。
しかも今時SYN Flood対策も出来ませんなんて、良く言えたものだ。さっさと過当競争でご退場願おう。
良くあるパターンは、DDoS攻撃側が攻撃を止めるための身代金を要求する、というものです。ホスティング提供側が消費したリソースで高い料金を取ると、攻撃を止めさせるために身代金を払う利用者が増えて、DDoS攻撃者のインセンティブが増します。それによってDDoS攻撃が増えると、ホスティング提供側は自分を苦しめることになります。
DDoS攻撃を舐めないですか?今回は違うっぽいですが,今時帯域なら数Gbps強のDDoS攻撃なんて簡単に作り出せるんですよ?そんなんをお客さんに転嫁したらお客さん火の車ですよ.
たかだか数千円のサービスでそこまでコストをかけれるとお思いかな?
高いから辞めますって顧客が言ってくれるなら、今回みたいにクレーム付けられずに自主的に去ってくれるのだから僥倖だろ。料金を取る上で、矛盾の無いサービスとなる。
そもそも、リソース売りなのだから、1VMが他に影響出して喰い潰せるようにする時点で、間違ってんじゃないの?VM別のリソース割り当て上限とかって、基本機能であったよね?
もっと上位のNWが潰されていたとしても、QoSなり、いくらでもやりようはあるんじゃ無いの?DDoSされてるサーバ自体が使えないのは仕方ないし、サーバ側で対策打てないなら、やめるなり引っ越すなり自分で判断してもらえば良い。
大事なのは、顧客に与えたリソース以外の場所でサービスが侵害されているのならば、それは自社のサービスに対する攻撃でもあると自覚する事ではないですか?無関係決め込んでますが、自社領域に影響出たなら犯人捕まえて損害賠償請求するのが、通りだと思いますけどね。
>高いから辞めますって顧客が言ってくれるなら、今回みたいにクレーム付けられずに自主的に去ってくれるのだから僥倖だろ。>料金を取る上で、矛盾の無いサービスとなる。
このご時世,そんなサービスが安いVPSサービスがある中で流行ると思いますか?海外ならトラフィックに応じて課金されるサービスが多いのでその理論も成り立ちますけど,数千円ポッキリなサービスが多い日本でそんなサービスが成り立つのはトラフィック課金してるクラウド系のサービスでしょう.
>そもそも、リソース売りなのだから、1VMが他に影響出して喰い潰せるようにする時点で、間違ってんじゃないの?>VM別のリソース割り当て上限とかって、基本機能であったよね?
CPUやメモリはそうですけどネットワークの場合,いくらサーバ側で絞ってもDDoS系の攻撃には無力ですよ.サーバまでは届いちゃうわけですから.ネットワーク機器で絞るにしても,安価にGbps単位のトラフィックをIP単位で絞れるものなんて早々無いですし.そして,今時GbpsオーダーでDDoS攻撃が来るのはご存じないかな?そして,10GbEなんて案外簡単に埋められてしまうことを.
>もっと上位のNWが潰されていたとしても、QoSなり、いくらでもやりようはあるんじゃ無いの?>DDoSされてるサーバ自体が使えないのは仕方ないし、サーバ側で対策打てないなら、やめるなり引っ越すなり自分で判断してもらえば良い。
それが今回の例では?
>大事なのは、顧客に与えたリソース以外の場所でサービスが侵害されているのならば、それは自社のサービスに対する攻撃でもあると自覚する事ではないですか?>無関係決め込んでますが、自社領域に影響出たなら犯人捕まえて損害賠償請求するのが、通りだと思いますけどね。
お金と人的リソースが無限大ならそういうことも出来るでしょうね.でも,現実はそれらの問題が大きなファクターを持ちます.ネットワーク機器もタダじゃないですし,サーバもタダではない.それらを総合的に見た結果が今回のような事例なんではないんですか?たかが,数千円のサービスにそこまで手厚いサポートを求めるのが間違いですし,手厚い保証がほしいのであれば数十万,数百万レベルでお金を出さないと行けないわけです.
要するに「俺は無理だ」って告白なんでしょうけど、それを普通だと強弁しなけりゃならない時点でちょっとあんたおかしいですよ
論理的な反論が出来ずそんな言いがかり的な内容を書かれても…….
どんなサービスにでも限界はあるし,/.J民なら分かるはずだが.それがわからない,というか考えようともしない方がどうかしてる.
自分が指摘してる点について何も考えてないでしょ?
>今時SYN Flood対策も出来ませんネットワーク機器はそこまで詳しくはないのだけど、SYNパケット制限機能すらないルーターってよほど低価格のルーターなのかな?
普通ルータで制限するような機能は大手では使いません.トラフィック量的に無理がありますから.
ネットワーク機器上でsFlowなんかを吐かせた上で,DDoSディテクタを使って検知を行いDDoSが発生した場合は該当IPセグメント丸ごとDDoS対策機器に経路を向けて正常な通信とDDoS攻撃を振り分けたりしてます.
ただ,DDoS攻撃と思われる通信を検知した時点でDDoS対策機器の方に経路を振り替えて,Proxyを行うので,そのたびにソースIPがDDoS対策機器に変わるのが玉に瑕ではありますが.
今回はどうかわかりませんけど,帯域を食いつぶす系のDDoS攻撃の場合はIPを変えるのはMUSTで,それでも解決しない場合は出ていってもらうのが普通だと思います.昨今のVPSの値段では,まかないきれないぐらいトランジット料金も馬鹿にならないですし.
ルータでそんな処理をさせると非常に重たいから「普通は」やらないですよ.ルータがDDoSで死んじゃいましたとか笑い話でしょ?トラフィックが数十Mbps位ならやれなくは無いかもしれませんが.
大体はルータか途中のスイッチでsFlowをはかせて別の機械で軽減するのが一般的.こんな感じで:http://www.idcf.jp/network/ddos/ [www.idcf.jp]
でもそんな事出来るような機械を買うのもお金が馬鹿にならないですし,何よりVPSみたいな/32単位でIPを払い出すようなサービスはIPセグメント丸ごと対策機器通すような形のになるDDoS対策機器とか入れづらい.ソースIPが変わったり,微妙に挙動が変わったりするのが嫌な人とまぜられないから.
> 契約がどうなってようと、被害者であろうと嫌がらせして追い出すなんて常識あるわけねーだろと言うツッコミなのだが何がどう嫌がらせと?
格安サービスでIP変えさせるのも最悪ドメインを変えるのも普通の対応でしょう?もうちょいお金を払ってもらえれば,業者側もやりようはありますけど.1件あたり数千円しかしないサービスなのに数百~数千万するような機械をホイホイ買えると思うかな.
>常識を疑われて、多数派工作したいのはわかるけどもうちょっと頭を使おうや。な?>んでなんでそんなに必死なの?IDでわざわざ書いてるのにそんなことする必要あんの?それよりACでそんなくだらない妄想を書くほうが必死じゃあないかと.
#なんとなく,スコアが-1なやつにも反応してみる.
普通に規約に則って契約解除を要請すると、解除に伴う損害などを請求される可能性があるからって自主的に契約解除されるように嫌がらせをしているのが今回の件だろう
それを普通だと必死に書いてるのはあんただけだし。
『ルータでは』無理でしょう。そういうもの(機能)を求めた機器ではありませんから。キャリアルータがL4以上のセッション管理なんてしたら、むしろ害悪です。やるとすれば専用の帯域制御装置やミティゲーション装置ってことになります。
そんな枝葉末節の話はおいておいて、DCの中ではSYN Floodとは言え、そう勝手に対応は出来ないのは事実です。ただ、そういう場合でも、まずは顧客と調整して、事業者側が何らかのセキュリティ製品で対応をとるのが普通で、GMOの対応は異例だと思います。
メインのドメインを運用したいのであれば、IDSなりDDoSに耐えうる機材・機器(GMOの方曰く数千万円する機材とのこと)を自分で導入して外部で運用したらどうか
GMO曰く数千万する機材じゃないとついてないそうですよhttps://www.npa.go.jp/cyberpolice/server/rd_env/pdf/DDoS_Inspection.pdf [npa.go.jp]警察庁も推奨してますけど、数千万する機材買えとか警察庁はきちくだなー(棒
今回発生した規模をさばけるのだと高額とか?まずはどの程度の規模だったのか提示してくれないとなぁ
自己レスだけど、元ネタの人iptablesでSYN flood対策してるみたいなのだがこの対策は役に立たなかったということなのだろうかhttp://qiita.com/suin/items/5c4e21fa284497782f71 [qiita.com]
ソースアドレスがランダマイズされてると、hashlimitだけじゃダメなはず。しかし、そもそも、synfloodは帯域やルーターのバッファを埋めることが目的とされるので、サーバーだけじゃどうしようもないでしょう。
よく考えてみたら、意外と良心的かもしれない。
金も能力も無い以上、GMOクラウドには打つ手が無いし、他社の良サービスに引っ越してもらうのが、一番ユーザの為を思った行動かもしれない。だって、わざわざ謙って、「自分とこはSYN Floodに対応出来ない」っていう弱点までさらしながら、馬鹿を演じて愛想つかして引っ越すように促してくれたんでしょ?
他の顧客は、今後この脅威にさらされるけど、このユーザだけは「今のうちに逃げるんだ」って教えて貰った訳だし。
国内では少ないんだけど、国外サーバーは固定+転送量課金が多いですよね。
DDOS攻撃でもトラフィックって上がるもんなんですかね…
最近だと,DNSだったりNTPだったりのReflection攻撃の方がSYN-flood系の攻撃よりも多かったりします.そのため,帯域を滅茶苦茶消費します.数Gbpsは結構普通に来るように最近はなりました.
多分お手軽簡単で世界中にReflectionできるサーバが居るからなんでしょうね…….
わざわざSYN-floodを使ってかつIP変えても追っかけてくるってことはピンポイントで狙われる何かがあるんでしょうけどね…….
世間では未だにSYN-floodの方が多いらしいですよ>わざわざSYN-floodACKを返させて返事を待たせる分、リフレクション系よりも効果的なのかもしれません。
ほんと、タイトルの通りだな。
消費したリソースって、従量課金できない部分で、他の多くのユーザと共有するベストエフォートサービスじゃないの?つまり、1ユーザへの攻撃のために、同居する全ユーザが被害を受けるわけだよ。それを防ぐ能力がない以上、ごめんなさい、他に行ってくださいというしかない。
DoS攻撃としてのSYN Flood攻撃を防ぐのは簡単だけど、DDoS攻撃によるSYN Flood攻撃ってどうやって防ぐんだろう?ちょっと説明してくれまいか?
ちょっと負担がしんどいんで他にいってくれないかって話なら規模が大きくなれば良くある話。だが、今回のポイントは、GMOがそういうまともな理由を提示しての対応では無く、「お前が不正アクセスさせてるせいだ」とか言い出してるあたりで。
原因は規約のこういう問題に対応するための文言が充分ではなかったという規約の欠陥と、サポートが単純にあーぱーだったからという人的な欠陥が重なった結果ですかね。まぁ、それ以前に会社がアレだからだと思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
頭が悪いにも程がある (スコア:0)
別に顧客がDDOS受けようが構わないだろ。
それも含めて商売だろうに何やってんだ。
仮想ホスティング系なら正々堂々と、消費したリソースでお金取ればいい。
しかも今時SYN Flood対策も出来ませんなんて、良く言えたものだ。
さっさと過当競争でご退場願おう。
Re:頭が悪いにも程がある (スコア:1)
良くあるパターンは、DDoS攻撃側が攻撃を止めるための身代金を要求する、というものです。
ホスティング提供側が消費したリソースで高い料金を取ると、攻撃を止めさせるために身代金を払う利用者が増えて、DDoS攻撃者のインセンティブが増します。
それによってDDoS攻撃が増えると、ホスティング提供側は自分を苦しめることになります。
Re:頭が悪いにも程がある (スコア:1)
DDoS攻撃を舐めないですか?
今回は違うっぽいですが,今時帯域なら数Gbps強のDDoS攻撃なんて簡単に作り出せるんですよ?
そんなんをお客さんに転嫁したらお客さん火の車ですよ.
たかだか数千円のサービスでそこまでコストをかけれるとお思いかな?
Re: (スコア:0)
高いから辞めますって顧客が言ってくれるなら、今回みたいにクレーム付けられずに自主的に去ってくれるのだから僥倖だろ。
料金を取る上で、矛盾の無いサービスとなる。
そもそも、リソース売りなのだから、1VMが他に影響出して喰い潰せるようにする時点で、間違ってんじゃないの?
VM別のリソース割り当て上限とかって、基本機能であったよね?
もっと上位のNWが潰されていたとしても、QoSなり、いくらでもやりようはあるんじゃ無いの?
DDoSされてるサーバ自体が使えないのは仕方ないし、サーバ側で対策打てないなら、やめるなり引っ越すなり自分で判断してもらえば良い。
大事なのは、顧客に与えたリソース以外の場所でサービスが侵害されているのならば、それは自社のサービスに対する攻撃でもあると自覚する事ではないですか?
無関係決め込んでますが、自社領域に影響出たなら犯人捕まえて損害賠償請求するのが、通りだと思いますけどね。
Re:頭が悪いにも程がある (スコア:1)
>高いから辞めますって顧客が言ってくれるなら、今回みたいにクレーム付けられずに自主的に去ってくれるのだから僥倖だろ。
>料金を取る上で、矛盾の無いサービスとなる。
このご時世,そんなサービスが安いVPSサービスがある中で流行ると思いますか?
海外ならトラフィックに応じて課金されるサービスが多いのでその理論も成り立ちますけど,数千円ポッキリ
なサービスが多い日本でそんなサービスが成り立つのはトラフィック課金してるクラウド系のサービスでしょう.
>そもそも、リソース売りなのだから、1VMが他に影響出して喰い潰せるようにする時点で、間違ってんじゃないの?
>VM別のリソース割り当て上限とかって、基本機能であったよね?
CPUやメモリはそうですけどネットワークの場合,いくらサーバ側で絞ってもDDoS系の攻撃には無力ですよ.
サーバまでは届いちゃうわけですから.
ネットワーク機器で絞るにしても,安価にGbps単位のトラフィックをIP単位で絞れるものなんて早々無いですし.
そして,今時GbpsオーダーでDDoS攻撃が来るのはご存じないかな?そして,10GbEなんて案外簡単に埋められて
しまうことを.
>もっと上位のNWが潰されていたとしても、QoSなり、いくらでもやりようはあるんじゃ無いの?
>DDoSされてるサーバ自体が使えないのは仕方ないし、サーバ側で対策打てないなら、やめるなり引っ越すなり自分で判断してもらえば良い。
それが今回の例では?
>大事なのは、顧客に与えたリソース以外の場所でサービスが侵害されているのならば、それは自社のサービスに対する攻撃でもあると自覚する事ではないですか?
>無関係決め込んでますが、自社領域に影響出たなら犯人捕まえて損害賠償請求するのが、通りだと思いますけどね。
お金と人的リソースが無限大ならそういうことも出来るでしょうね.
でも,現実はそれらの問題が大きなファクターを持ちます.
ネットワーク機器もタダじゃないですし,サーバもタダではない.
それらを総合的に見た結果が今回のような事例なんではないんですか?
たかが,数千円のサービスにそこまで手厚いサポートを求めるのが間違いですし,手厚い保証がほしいのであれば
数十万,数百万レベルでお金を出さないと行けないわけです.
Re: (スコア:0)
要するに「俺は無理だ」って告白なんでしょうけど、それを普通だと強弁しなけりゃならない時点でちょっとあんたおかしいですよ
Re:頭が悪いにも程がある (スコア:1)
論理的な反論が出来ずそんな言いがかり的な内容を書かれても…….
どんなサービスにでも限界はあるし,/.J民なら分かるはずだが.
それがわからない,というか考えようともしない方がどうかしてる.
自分が指摘してる点について何も考えてないでしょ?
Re: (スコア:0)
>今時SYN Flood対策も出来ません
ネットワーク機器はそこまで詳しくはないのだけど、SYNパケット制限機能すらないルーターってよほど低価格のルーターなのかな?
Re:頭が悪いにも程がある (スコア:3, 参考になる)
普通ルータで制限するような機能は大手では使いません.
トラフィック量的に無理がありますから.
ネットワーク機器上でsFlowなんかを吐かせた上で,DDoSディテクタを使って検知を行いDDoSが発生した場合は該当IPセグメント丸ごとDDoS対策機器に経路を向けて正常な通信とDDoS攻撃を振り分けたりしてます.
ただ,DDoS攻撃と思われる通信を検知した時点でDDoS対策機器の方に経路を振り替えて,Proxyを行うので,そのたびにソースIPがDDoS対策機器に変わるのが玉に瑕ではありますが.
今回はどうかわかりませんけど,帯域を食いつぶす系のDDoS攻撃の場合はIPを変えるのはMUSTで,それでも解決しない場合は出ていってもらうのが普通だと思います.昨今のVPSの値段では,まかないきれないぐらいトランジット料金も馬鹿にならないですし.
Re:頭が悪いにも程がある (スコア:2)
ルータでそんな処理をさせると非常に重たいから「普通は」やらないですよ.
ルータがDDoSで死んじゃいましたとか笑い話でしょ?
トラフィックが数十Mbps位ならやれなくは無いかもしれませんが.
大体はルータか途中のスイッチでsFlowをはかせて別の機械で軽減するのが一般的.
こんな感じで:
http://www.idcf.jp/network/ddos/ [www.idcf.jp]
でもそんな事出来るような機械を買うのもお金が馬鹿にならないですし,何よりVPSみたいな
/32単位でIPを払い出すようなサービスはIPセグメント丸ごと対策機器通すような形のになる
DDoS対策機器とか入れづらい.ソースIPが変わったり,微妙に挙動が変わったりするのが
嫌な人とまぜられないから.
Re:頭が悪いにも程がある (スコア:1)
> 契約がどうなってようと、被害者であろうと嫌がらせして追い出すなんて常識あるわけねーだろと言うツッコミなのだが
何がどう嫌がらせと?
格安サービスでIP変えさせるのも最悪ドメインを変えるのも普通の対応でしょう?
もうちょいお金を払ってもらえれば,業者側もやりようはありますけど.
1件あたり数千円しかしないサービスなのに数百~数千万するような機械をホイホイ買えると思うかな.
>常識を疑われて、多数派工作したいのはわかるけどもうちょっと頭を使おうや。な?
>んでなんでそんなに必死なの?
IDでわざわざ書いてるのにそんなことする必要あんの?
それよりACでそんなくだらない妄想を書くほうが必死じゃあないかと.
#なんとなく,スコアが-1なやつにも反応してみる.
Re: (スコア:0)
普通に規約に則って契約解除を要請すると、解除に伴う損害などを請求される可能性があるからって
自主的に契約解除されるように嫌がらせをしているのが今回の件だろう
それを普通だと必死に書いてるのはあんただけだし。
Re: (スコア:0)
> もうちょいお金を払ってもらえれば,業者側もやりようはありますけど.
> 1件あたり数千円しかしないサービスなのに数百~数千万するような機械をホイホイ買えると思うかな.
IPは変えてもどうということはないが、ドメイン変えるのが普通の対応っていう感覚はないなぁ。それは何が好転するの?次のドメインにも来たら移管費用と変更に際して発生した諸々はどうしてくれるの?
被害者が「もうドメイン変えるぐらいしかない!」というのはわかるけど、ISP側から言われる性質のも
Re:頭が悪いにも程がある (スコア:1)
『ルータでは』無理でしょう。そういうもの(機能)を求めた機器ではありませんから。
キャリアルータがL4以上のセッション管理なんてしたら、むしろ害悪です。やるとすれば
専用の帯域制御装置やミティゲーション装置ってことになります。
そんな枝葉末節の話はおいておいて、DCの中では
SYN Floodとは言え、そう勝手に対応は出来ないのは事実です。
ただ、そういう場合でも、まずは顧客と調整して、事業者側が何らかのセキュリティ製品で
対応をとるのが普通で、GMOの対応は異例だと思います。
Re:頭が悪いにも程がある (スコア:1)
メインのドメインを運用したいのであれば、IDSなりDDoSに耐えうる機材・機器(GMOの方曰く数千万円する機材とのこと)を自分で導入して外部で運用したらどうか
GMO曰く数千万する機材じゃないとついてないそうですよ
https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/DDoS_Inspection.pdf [npa.go.jp]
警察庁も推奨してますけど、数千万する機材買えとか警察庁はきちくだなー(棒
Re: (スコア:0)
今回発生した規模をさばけるのだと高額とか?
まずはどの程度の規模だったのか提示してくれないとなぁ
Re:頭が悪いにも程がある (スコア:1)
自己レスだけど、元ネタの人iptablesでSYN flood対策してるみたいなのだがこの対策は役に立たなかったということなのだろうか
http://qiita.com/suin/items/5c4e21fa284497782f71 [qiita.com]
Re:頭が悪いにも程がある (スコア:1)
ソースアドレスがランダマイズされてると、hashlimitだけじゃダメなはず。
しかし、そもそも、synfloodは帯域やルーターのバッファを埋めることが目的とされるので、
サーバーだけじゃどうしようもないでしょう。
Re: (スコア:0)
よく考えてみたら、意外と良心的かもしれない。
金も能力も無い以上、GMOクラウドには打つ手が無いし、他社の良サービスに引っ越してもらうのが、一番ユーザの為を思った行動かもしれない。
だって、わざわざ謙って、「自分とこはSYN Floodに対応出来ない」っていう弱点までさらしながら、馬鹿を演じて愛想つかして引っ越すように促してくれたんでしょ?
他の顧客は、今後この脅威にさらされるけど、このユーザだけは「今のうちに逃げるんだ」って教えて貰った訳だし。
Re: (スコア:0)
国内では少ないんだけど、国外サーバーは固定+転送量課金が多いですよね。
DDOS攻撃でもトラフィックって上がるもんなんですかね…
Re: (スコア:0)
最近だと,DNSだったりNTPだったりのReflection攻撃の方がSYN-flood系の攻撃よりも多かったりします.そのため,帯域を滅茶苦茶消費します.
数Gbpsは結構普通に来るように最近はなりました.
多分お手軽簡単で世界中にReflectionできるサーバが居るからなんでしょうね…….
わざわざSYN-floodを使ってかつIP変えても追っかけてくるってことはピンポイントで狙われる何かがあるんでしょうけどね…….
Re: (スコア:0)
世間では未だにSYN-floodの方が多いらしいですよ>わざわざSYN-flood
ACKを返させて返事を待たせる分、リフレクション系よりも効果的なのかもしれません。
Re: (スコア:0)
ほんと、タイトルの通りだな。
消費したリソースって、従量課金できない部分で、他の多くのユーザと共有するベストエフォートサービスじゃないの?
つまり、1ユーザへの攻撃のために、同居する全ユーザが被害を受けるわけだよ。
それを防ぐ能力がない以上、ごめんなさい、他に行ってくださいというしかない。
DoS攻撃としてのSYN Flood攻撃を防ぐのは簡単だけど、DDoS攻撃によるSYN Flood攻撃ってどうやって防ぐんだろう?
ちょっと説明してくれまいか?
Re:頭が悪いにも程がある (スコア:1)
ちょっと負担がしんどいんで他にいってくれないかって話なら規模が大きくなれば良くある話。だが、今回のポイントは、GMOがそういうまともな理由を提示しての対応では無く、「お前が不正アクセスさせてるせいだ」とか言い出してるあたりで。
原因は規約のこういう問題に対応するための文言が充分ではなかったという規約の欠陥と、サポートが単純にあーぱーだったからという人的な欠陥が重なった結果ですかね。まぁ、それ以前に会社がアレだからだと思いますが。