アカウント名:
パスワード:
#仮にも技術(アレゲ)系掲示板なんだし。
「アレゲな人」という単語がカバーする範囲に TCP/IP の基礎知識が備わっているという期待はあるでしょうが、だからといって「TCP/IP を知らないなら勉強してこい」はどうかと思います。slashdot.jp は
なんて言われだしたらアレです。
「アレゲな人」という単語がカバーする範囲に TCP/IP の基礎知識が備わっているという期待はあるでしょうが、だからといって「TCP/IP を知らないなら勉強してこい」はどうかと思います。
slashdot.jp は ・仮にもアレゲ系掲示板なんだし(略 なんて言われだしたらアレです。
SYN Floodって基本的にはCPUとかメモリとか帯域等を食潰すのではなく、単に人為的に設定されたリソースの制限に引っかかるだけですから、SYN Cookieでリソースを使わずに済めばほとんど無いに等しい状態になります。 迷惑は迷惑ですが、比較的対処はたやすい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
えー。 (スコア:1, すばらしい洞察)
5000 アクセス/秒 というのはそんなにつらいアクセス数なのでしょうか。
そもそも、回線に律速されると思うのですが、ACCS の回線はそんなに太いのでしょうか。
外からサービスが見えない、というだけならサーバーを落す必要はないと思うのですが、DDOS に対しての対処は通常サーバーを落すことなのでしょうか。
# 教えて君なのでAC
Re:えー。 (スコア:2, 興味深い)
サーバの設計思想による。
そこまでのアクセスを考慮してなければ「想定外」。
特殊な例を除けば5000アクセス/秒は想定外だと思うけどね。
>そもそも、回線に律速されると思うのですが、
帯域を圧迫する攻撃はACCSだけに影響範囲がとどまらないけど。
まあ、多分DDOS攻撃のことを言っているんだと思うけど、
いわゆるDDOSで使われるSYNパケットは帯域をほとんど圧迫しない。
そもそも、帯域拡張はSYNだけを使った攻撃には全く意味を成さない。
ゆえにF5攻撃ってのは単純かつ強力なんだけどね。
とりあえず、もちっとTCP/IPを勉強してみようよ。
Apcheの動作とかも学ぶと、
なぜF5攻撃が意味があるのか分かると思うよ。
#仮にも技術(アレゲ)系掲示板なんだし。
>DDOS に対しての対処は通常サーバーを落すことなのでしょうか。
逆に聞こう。それ以外で対処できると思う?
DDOSの意味を知っていればあなたの疑問が愚問であることは明白だと思うけどね。
#教えて君大嫌いなのでID。
Re:えー。 (スコア:1)
「アレゲな人」という単語がカバーする範囲に TCP/IP の基礎知識が備わっているという期待はあるでしょうが、だからといって「TCP/IP を知らないなら勉強してこい」はどうかと思います。slashdot.jp は
なんて言われだしたらアレです。
Re:えー。 (スコア:1)
あと、わたしには「勉強して来い(エラそう」じゃなくて、「勉強してみようよ(親切?」のようにも見えます。
#どっちとも言えず いやその辺は前提条件だと思うんですが。
#ギロンしたいならね
#わたしはそんなこと言いませんし勉強もしてません
Re:えー。 (スコア:0)
>DDOSの意味を知っていればあなたの疑問が愚問であることは明白だと思うけどね。
1秒間あたり100以上のSYNパケットが流れてきたらそのIPはしばらく無視、
とかいう方法は素人目には少数からの攻撃には有効な気がするけど、駄目なんでしょうか?
Re:えー。 (スコア:3, 参考になる)
> とかいう方法は素人目には少数からの攻撃には有効な気がするけど、駄目なんでしょうか?
とのことですが、元記事のとおり
> 送信元はランダムで原因はまだわかってないとのこと。
とのことなので、それは難しそう。
Re:えー。 (スコア:1, 参考になる)
たとえ、ランダムで無かったとしてもフィルタリングはお勧めできません。
Re:えー。 (スコア:0)
TCP/UDPの区別をせずにフィルタリングするのを期待して
DNS のルートサーバのIPアドレスを詐称します。
無理です (スコア:1)
一般に、DDoS攻撃では、IP addressで判別できないように、IP addressを偽る、多数ホストから攻撃する、などの手をとります。
もっとも、多数ホストから攻撃する理由は、主に攻撃頻度を上げるためだったりしますが。
Re:えー。 (スコア:1, 参考になる)
www サーバを落としたのではなく、DNS で www.accsjp.or.jp の
A レコードを消していたようですよ。
Re:えー。 (スコア:1)
IBM developerWorks > Linux
カーネル比較: 2.4と2.6でのWeb処理 [ibm.com]
を見る限りでは
PentiumIII-700MHz
RAM: 9GB, SWAP:2GB
RedHat7.3 + Apache 2.0.47
の 8-way SMP IBM xSeries を WPT 1.9.4 でテストして
2.4.18-smp: 102.37 pages/s
2.6.0 -test5: 623.00 pages/s
という結果が出ています。
つまり、生半可なシステムじゃぁ「無理」ってことでしょう、、、
uxi
防御方法 (スコア:1, 興味深い)
秒間5千発じゃあ、帯域をつぶせるほどの量じゃないので、
おそらくSYN flood攻撃でしょう。
PC一台で攻撃していると思います。
この攻撃への対処は、金をかけてサーバを負荷分散させても、投資のわりに効果がありません。
サーバがLinuxなら、SYN Cookieでどこまで防御できるか興味があります。
自作のSYN Flood攻撃プログラムで実験したことがありますが、
攻撃側PCが少ない場合は、効果がありました。
ぜひACCSさんには実験してもらいたい。
WEBサーバで、
sysctl -w net.ipv4.tcp_syncookies=1
とやるだけ。簡単ですよ。
犯人探しに興味がある方々、IPトレースバックシステムはいかがですか。
Re:防御方法 (スコア:1, 参考になる)
とあるお客さんの所で8000pkt/secぐらいのSYN Flood食らって一時止まってしまったのですが、SYN Cookieセットしたら平気で捌けました。
SYN Cookie使うと若干重くはなりますが微々たるものですから、今ではデフォルトONで運用しています。
SYN Floodって基本的にはCPUとかメモリとか帯域等を食潰すのではなく、単に人為的に設定されたリソースの制限に引っかかるだけですから、SYN Cookieでリソースを使わずに済めばほとんど無いに等しい状態になります。
迷惑は迷惑ですが、比較的対処はたやすい。
Re:えー。 (スコア:0)
local で(≠ localhost で) F5 アタックのテストをしてみるとよいと
思います。
フツーの PC の上にフツーの Apache の設定にしておくとたった一人の
F5 アタックでも実はつらいです。
# うちの自宅サーバがそうなので AC
5000アクセス/Secなんてうらやましーー! (スコア:0)
してみると。
回線は100Mぐらいあればいいかな。
コンテンツの重さによりけれど、5000アクセス/sを予想すると、静的なもので80Mb/sぐらいになるのかな?
鯖はラウンドロビン、もしくはロードバランシングで
Re:えー。 (スコア:0, 余計なもの)
-- 哀れな日本人専用(sorry Japanese only) --