Maxの日記: WormおよびP2P対策 4
某所CATVなISPでの対策。
利用世帯はは500前後。最大同時接続数は多くても300程度の規模。
・センタモデムでフィルタリング
TCPポート135および4444番締め出しのためのルール追加
ワームがプローブに使うICMPパケット自体は締め出さず。
これで感染は食い止めたかな。
・SonicWallのキャッシュタイムアウトの調整
デフォルトの5分から3分へ。
同時にハンドルできる接続は、実運用ではカタログ値の
1/4程度でしかないことが判明。"The cache full"が頻繁に
ログされる。
キャッシュがあふれるとSonicWallで保持している接続が
捨てられることになり、現象としてはレイトコリジョン同様、
アプリケーションレイヤでのリトライがかかりパフォーマンス
が大幅にダウンしていた模様。これにより内部ネットの輻そうが
頻発していた。
調整により同時接続数に関するエラーは皆無。管理チームは
外部監視サーバから日に数十件も投げられていた警報メールから
解放されたつーのが一番うれしいことかも(笑)。
・利用者から運営スタッフへの啓蒙を重視した対策を検討必要
(一番重要)
決して場当たり的なものであってはならない。
追加:
・SonicWallにて主なP2Pアプリケーションの接続の制限
上流のルータがまだQoS対応ファーム未リリースのため、もっとも
混雑する時間帯のみの接続拒否設定を暫定措置として実施。
それにしても、SonicWallで今つかってるのは「エンタプライズ
グレード」の製品でカタログ上は10万を越える接続をさばける
となっている。通常の状態であれば、このスペックでいいんだけど
ワームの集団感染みたいな状態では1/4程度が限界だというのは
失望したというかなんというか。チューニングにより回避できた
というのはありがたいこと。キャリアグレードの製品を入れる
かどうか判断する際はもっとシビアな評価を求めるべきだな。
この手のアプライアンス製品が交通整理役でなく、渋滞を引き起こす
役割を担っちゃう場合もあるってことを改めて実感。
検討経過で「(前に使っていたSonicWallと同じく)メモリを
自己責任で増設」とか怖い話も出たけどやらなくて良かった。
あと、WinMXとWinnyのトラフィックが割とあった。
利用者に対する制限は設けたくないけれど、帯域の20%を常時消費
しているという状態はいかんともしがたい。
上流のルータのQoSがまだ使えない(ファーム未対応:機種秘密)
なのでやむを得ずもっとも混雑する数時間だけご遠慮願うようにした。
ファイル交換マニアの方は空いた時間にやってください、と。
・・・こんなわけで、ますますネットワーク技術者になっていく
私の今日この頃。こういう検討とか、対策実施で最近は深夜作業。
それにしても、この仕事をすることって一種のメタファーだなと。
****
その後の追記:
SonicWallのタイムアウト調整だけでは間に合わず。
どうやら、ワームは近隣IP(同一ISP)への感染ができない状態だと
外向けのICMPを大量発生するらしい。やりたくなかったが、CATV網
の多発アドレスブロックに対して、外向けのPINGを拒否。
同時接続数が一気に1/3に。
昨晩は午前0時頃に、感染したPCを使っていた人の多くがPCを止めた
のか?騙された・・・ショック。
P2P系トラフィックは時間限定で遮断ですか…。 (スコア:1)
今年、CATV網が来ますので、参考にさせてもらいました。
なんでも、村の入口まで10Gbpsの光ファイバで受けて、役場に引き込み、
CATVの同軸ケーブルで各戸に配信らしいです。
CATVってグローバルIPではなくて、
プライベートIPが配布される場合が多いって聞いたのですが、
CATVってそういうもんなのでしょうか?
Re:P2P系トラフィックは時間限定で遮断ですか…。 (スコア:1)
これは豪快ですねぇ・・・って、あれ?
これはバルクでトータル10Gbpsってことですか?
現状のファイバで10Gbps通せるのはまだ市場には出てないんじゃ
ないかと思ったのですが・・・
# 昭和電線あたりから出てたりして
> プライベートIPが配布される場合が多いって
確かにそうです。
大体の事情としては、
1)グローバルIPを利用者規模相当もらってない
2)上流回線が細く、Proxy+NAT環境でないと使い物にならない
3)複数のグローバルなネットワークアドレスを管理するだけの
手間がかけられない(技術要員とコストの問題)
でしょうかね。特にいままでは2)が多かったんじゃないかと。
あと、ルータを介さない状態での接続PC台数を規制するために
ケーブルモデム側で通過させるパケットのIPアドレスとMACアドレス
を制限することも多いのですが、ローカルIPの方が取り回し
が楽だってこともあり。
まぁ、悪いことばかりでもなくてNATでプライベートを割り振っ
ているおかげで外部からのワーム攻撃にちょっとだけ強いという
ことはありますが・・・微々たるもんかな。
感染したらあっちゅう間ですから(苦笑
-- (ま)
加入は確定…なのですが。 (スコア:1)
何とか市町村合併の前に、無理して最新鋭の機器を入れるって言ってました。
結局、村ごとNTTに見捨てられたので自分達でやろうってことらしいです。
ADSLサービスも、B-Flet'sも予定なしだそうなので。
上流は10GBPSだと聞いたような気がするんですけど、いまだに線材がないのですか…。
う~む。どういうシステムなんだろうな。
CATV網が1枚噛んでるようなので、CATVのデータも隣街のCATV放送局から
光ファイバで送ってくるつもりなのかと思ったのだけど…。
家ごとのシステムも結構謎な感じです。家庭に引き込まれるのは、いわゆる同軸ケーブルなんですが、
この下に告知端末ってのが付いてまして、各戸に1台、強制加入になってます。
どうもこれ、田舎ではまだいっぱい生き残っている「有線放送」を代替する機能があるらしい。
この箱の下にLANと地域電話(多分IP電話)のジャックが付くようです。
CATV+役場広報TV+有線放送+地域電話+インターネット回線という、
なんだかワケわからんシステムで、各戸で使えるIP網の最大回線速度は10MBPSだとか。
今使っている、64Kbps1回線のFlet's ISDNよりはずっと速いので、
乗り換える予定なんですが、固定とは言わないまでも、グローバルIPがもらえないと、
「現代の秘密基地」とも言われるWebサーバが立てられないし、
ネットゲームやるにしてもicmpやudpが直通で通らなかったら支障が出そうだなと、気をもんでいるところです。
# 役場で聞いてもその場所には詳しい事を知ってる人がいないらしい…(汗
もちろん、加入募集の回覧板にはそういう細かい所まで載ってないです。
というか、CATVに何とか加入させようとして、これに「基本サービス」って紛らわしい名前を付けてる。
# 無知な奴が間違えて加入するのを狙っているとしか思えない。
# なんかひとクセありそう…。
加入を勧める理由に、「村役場へTVスタジオを設けてあれやこれや」という話が書いてありましたが、
そんなの、誰が見るんだよと(笑 (市町村合併はどうなったんだ)
ワームに関しても記述がありましたが、
「感染したくないなら自分でルータを買え」って書いてあった模様。
特に機種の推奨はしてないみたい。
なんか癒着はなさそうだけど、逆に言えば放置プレイされそうな予感。
何と言っても「速さには勝てない」ので、加入申し込みはしたのですが、
この先不安がいっぱいな今日このごろです…。
Re:加入は確定…なのですが。 (スコア:1)
関連製品がでてきているようでもしかしたらすでに実用
段階に入ったのかな。
まだ部材周りは疎くてすみませぬ(陳謝
> CATV+役場広報TV+有線放送+地域電話+インターネット回線
これって選択肢提示としてなら悪い話じゃないですよね。
高齢者の多い地域ではCATVや電話という既存の通信手段に活用
されるというのが正解のような気がします。ただ、選択の余地が
ないっつーなら・・・・有線放送は「防災無線」の代わりって事かも。
有線放送はこれまでだいたいJAが経営しているケースが多いんですが
どうなんでしょ。
しかし、上記機能をもったケーブルモデムってすごく大きく
なりそうな感じが(汗
>「現代の秘密基地」とも言われるWebサーバが立てられないし
TCPの80だけを使うってのなら、プライベートIP環境でも
p-DNSつー手があったんですが、
http://www.p-dns.net:8080/
いまは「あぼ~ん」してますね(汗)
しかし、300ch分の放送とBフレッツマンションタイプ程度のネット
ワーク接続を同じケーブル(ただし、ラストワンマイルは同軸と
イーサケーブルですが)で伝送できるってことが1年以上前にすでに
実証実験されてるので:
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/session/pdf/021119_01.pdf
WDM+B-ONU+V-ONUを世帯ごとに入れるというのはコスト的に非常に
つらいと思う(数十万になっちゃうのでは?)ので、そろそろ、
これをマンションタイプ収容ではなく個別収容にするような実用
解法がでてきませんかねぇ。FTTV(Fibre To The Village:集落)
とか。
# 無ければやっちゃえって?(汗
-- (ま)