2ちゃんねる、大規模なDDoS攻撃で一時アクセス不能に 121
ストーリー by mhatta
5億人がF5押しているさまが脳裏をよぎった 部門より
5億人がF5押しているさまが脳裏をよぎった 部門より
名無し曰く、"ITmediaの記事によると、6月19日に2ちゃんねるで大規模な接続障害が発生したが、その原因はなんと毎秒5億アクセスという大規模なDDoS攻撃であったとのこと(2ch運用情報)。
19日の大規模障害では、18日午後8時半ごろから断続的に接続障害が発生し、19日午前1時に大規模な障害が発生していた。当初はデータセンターのルータが故障したためなどとも言われていたが、原因はこのDDoS攻撃であった。ルータのアップデートにより接続障害からは回復したものの、現在も攻撃は続いているとの事。攻撃者についても詳しいことはわかっていないようだ。
しかし毎秒5億アクセスとは、何台ぐらいのマシンが攻撃に参加しているんでしょうかね?"
2ch運用情報へのリンクを直しました。指摘してくれた人たちありがとう [mhatta, 2006-06-20 14:28:00]
毎秒5億アクセスって (スコア:5, すばらしい洞察)
Re:毎秒5億アクセスって (スコア:1, 興味深い)
5億パケット = 50Gバイト = 400Gbps
くらい?
毎秒5億アクセスという値に (スコア:5, 参考になる)
L2レイヤヘッダを無視しIP over UDPだけ仮定しても、1パケット当たり最低28オクテット = 224ビット。本当に「毎秒5億アクセス」なら、最低でも224bits×0.5Gpps = 112Gbps(合ってるよね?)。ちなみにL2がイーサネットなら最小フレームサイズが64バイトとなり最低でも256Gbps。
大型IXやISPの全方向から、めちゃくちゃな数のゾンビを使って攻撃すればあり得ない値ではないが、多分回りがとばっちりを食らって2chが落ちるどころでは済まされない。というわけで、原文の "500 Meg+ per second" とは多分500Mbytes/sec ≒ 4Gbps と思われ。まぁDDoSとしては平均的な値。
Re:毎秒5億アクセスという値に (スコア:4, 参考になる)
まぁ、数Gbpsでも一時的とはいえ、ダメージは0ではないですね。
Re:毎秒5億アクセスという値に (スコア:4, 参考になる)
ACCSのWebを停止に追い込んだ700Mbpsを超えるDDoS攻撃の実態 [impress.co.jp]
ITmedia エンタープライズ:ACCS vs Antinny――DDoSとの戦いに終わりは ... [itmedia.co.jp]
40%のAntinny駆除に成功するも、古いWindowsがネックに - @IT [atmarkit.co.jp]
これで参加台数が4万台強とされていますから、これを元に一代あたりの平均攻撃回数を求めると
700Mbps/224bits/40k台=80Access/s*台
5億アクセスとすると500万台程度が攻撃に参加中という計算になります。
真っ先に思った犯人が (スコア:3, 興味深い)
#すわ例の脆弱性を突いたWinny発新型ウイルスの
#大規模同時感染&全Winnyネットワーク総BOT化がついに
#現実に発動なのか?
Re:真っ先に思った犯人が (スコア:2, 参考になる)
MicrosoftのMRTがAntinnyに対応する(幇助といわれないための)大義名分もACCSへの攻撃対策でしたね。
Re:真っ先に思った犯人が (スコア:2, すばらしい洞察)
攻撃じゃなくて、いわゆる晒しで2chにアドレスやハッシュ貼る奴が
バグで正常に動かずにDDoSまがいの動きになってるとか。
2ちゃんねるに大量書き込みするボット (スコア:3, 興味深い)
今回のはこれの亜種または改良版じゃないっすかね?
命令を受けて2ちゃんねるへの攻撃を行なうボット「Trojan.Sufiage.C」
http://internet.watch.impress.co.jp/cda/news/2006/04/17/11666.html
単位を変えてみる (スコア:2, おもしろおかしい)
Re:単位を変えてみる (スコア:4, おもしろおかしい)
むしろ旧世代の遺物のようにも感じられる 。
Re:毎度お馴染み朝刊換算で (スコア:2, 参考になる)
(500000(バイト)/800で、毎秒朝刊625日分が配達されてる事になる。
まあ、世界ランク入りはならず [srad.jp]って事で、
参加国の人たちご苦労様、そして残念でした~!
#何か違う
Re:単位を変えてみる (スコア:1)
Re:単位を変えてみる (スコア:1, おもしろおかしい)
Re:単位を変えてみる (スコア:2, おもしろおかしい)
ロースかつ定食 1.2メガカロリー
みんつ
Re:単位を変えてみる (スコア:1, 興味深い)
なんか逆に数字がでかく感じた。
# 騙され易いンか俺…
Re:単位を変えてみる (スコア:1)
Re:単位を変えてみる (スコア:1, おもしろおかしい)
# 理想はPingが1クロックでPongが1クロックか?
2chそのものへの攻撃じゃないのでは? (スコア:2, 興味深い)
Re:2chそのものへの攻撃じゃないのでは? (スコア:2, 興味深い)
2ちゃんねる自体は打たれ慣れてるというか、この手の攻撃への対応は非常に迅速ですが、データセンターだとそうはいかないでしょうし、データセンター(とどういう関係なのか知らないけど)にも煙たがられてリアルな打撃になるでしょうし。
# 時差があって連絡が取りにくいのも痛い。
Re:2chそのものへの攻撃じゃないのでは? (スコア:1, すばらしい洞察)
常に攻撃する側だと思っていたのに (スコア:2, 興味深い)
スレを立てている80%以上の2ちゃんねらが迷惑を被っているわけで
すが、それが究極までくるとこうなるという事ですな。
そりゃあれだけ差別発言をニュー速+に書きなぐったら、どこかから
攻撃されても仕方ないですな。自分たちもわざわざ隣国のサイトまで
出掛けていって、差別発言を書きなぐっているわけだから。
ま、こんな事書くとすぐマイナスモデがつくんでしょうが、、、。
#2ちゃんねる用語は2ちゃんねるの中だけで使え!とAC
Re:常に攻撃する側だと思っていたのに (スコア:1)
マイナスモデは付いてますが、有用な情報です。(たとえ正解でなくて仮説でも有用)
the.ACount
DDoSっていっても (スコア:1)
Re:DDoSっていっても (スコア:1, 参考になる)
と書いてあります。
すなおに考えると、リクエスト = HTTP GET ですよね。
ということで、SYN Flood な気がしません。
TAP
スラドはまだ? (スコア:1, おもしろおかしい)
スラドはまだまだですな(^^;
Re:時期的に (スコア:2, すばらしい洞察)
Re:時期的に (スコア:1, 参考になる)
例えば
「人大杉」で軽微な場合でも一度連続リロードを行うと
数値が突然跳ね上がるので、おそらく
数値を見て連鎖的にリロードしていると思われます。
それと2ちゃんねるのサーバーは海外です。
接続経路は、
日本→SanJose(US) [google.co.jp]→ロンドン [google.co.jp]→サンフランシスコ(US) [google.co.jp]→Reno(US) [google.co.jp]の下の方にある2チャンネルサーバーの経由で接続されます。
NeoTrace [impress.co.jp]はデモでも利用できるので使ってみて下さい
Re:時期的に (スコア:1, おもしろおかしい)
「まうすをくりっく」
をしている図とか
リビングで親の膝に抱かれた赤ん坊が
「満面の笑みを浮かべつつ、手をF5キーに走らせている」図
を妄想してしまったではないですか
Re:時期的に (スコア:5, おもしろおかしい)
Re:時期的に (スコア:5, 参考になる)
いま計算していたのに……。
# 高橋名人が3125万人な。
Re:時期的に (スコア:1)
Re:時期的に (スコア:3, 興味深い)
まぁそうだよな、ホントにやってみたんだな、やっぱりガセだったんだなと、いろいろな事を感じた発言です。
Re:時期的に (スコア:1)
Re:時期的に (スコア:1)
職場での使用の際には、「オレコマンダー」の使用が許可されているか、上司の人に相談してください
Re:時期的に (スコア:1, 参考になる)
Re:犯人は (スコア:2, 興味深い)
Re:犯人は (スコア:2, 参考になる)
実績 [updown.org]があるから仕方あるまい。
Re:犯人は (スコア:2, 興味深い)
わざわざ2ちゃんに攻撃しかけるのは特定のアジア諸国の「ネチズン」の方々としか思えないけど....
こういう「上から見た」言い方するのもどうかと思うよ
Re:犯人は (スコア:2, 興味深い)
DDoS攻撃のIPヘッダー部のsrcって正しいモノなんでしょうか?
私が以前使っていたところは192.168.*.*みたいな
アドレスでも平気で外へと垂れ流していました。
#担当者も、指摘したら「これはみっともない」という
#ことで止めるようにしたみたいですが。
Re:犯人は (スコア:1, 興味深い)
Re:犯人は (スコア:1, 興味深い)
起こしてる張本人は別のところ。って可能性の方が大きいような・・・
ま、詳細が発表されてないから、お外からは推測しか言えないですけど。
(反撃する連中が居るから、迂闊に発表なんてできるわけない)
とは言え、ミサイル騒ぎがあることだし、北の将軍様の所のハッカーさんたちが動いてても不思議はないような気もします。
技量はCIA並らしいとか言いますし。
#・・・まさか、この間の漏洩、拙い物があったわけじゃないよね?
Re:犯人は (スコア:5, 興味深い)
私が関係しているサイトで以前「小規模な DDoS」を喰らったことがあるのですが、Source IP Address は某国の某最大手 ISP ばかりでした。
ただこれ、「某国が攻撃してきた」と表現するのは誤解を生みやすいと思うんですね。
bot を仕込むには何らかの罠を仕掛ける必要があって、エサは「いかにも踏みたくなるようなリンク」だと思われます。このリンクは某国語で書かれていて、ということはそれを踏むのは某国人がほとんどです。
そう考えると、はっきりしているのは「仕掛けたやつは某国語に堪能なやつだ」ということどまりで、「某国国民が一家総出で攻撃を仕掛けてきた」というのは実態に合わない可能性が高いと思うのです。
ま、エサに「みんなで撃とう 田代砲」みたいな言葉があるなら話は別ですが、そのへんは今のところ何もわかってないわけで。
[わかってもらうことは難しい。わかってあげることは、もっと難しい。]
Re:犯人は (スコア:1, 興味深い)
どう言い訳しようが、過去に実績がある以上、
"身から出た錆"
(因果応報というかもしれんが)
擁護に値するとは思えませんが。
つーか(Re:つながらない?) (スコア:3, 興味深い)
従って、房による反撃は事実上不可能でしょう。出来るとしたらワームが突っ込まれて攻撃しているPCや回線を逆探知して、逆にDDoSやワームで使えなくするくらい(怖)
…そうなってしまうと早くても各社のAntivirusでパターンファイルが出来て駆除できるまでは収まらないし、
完全スキャンを面倒に思ってぜんぜんやらない人やパターンファイルの更新(園長)ライセンスを買うのをケチっている人なんかは沢山いますから、攻撃自体は半永久的に収まらないのではないかと…
# 500Mbps程度の規模のDDoSと言うと、大手ISPならそのISPのユーザだけで出来なくはないだろうけど…実際どうなんだろ?
Re:つーか(Re:つながらない?) (スコア:5, おもしろおかしい)
Re:ふーん (スコア:2, おもしろおかしい)
無性に機嫌が悪くて、隣に居た自分が何故かとばっちり受けましたよ…orz
Re:ふーん (スコア:1)
避難場所にしてそこのアクセスが過多になったり
とかはしてました。
元が規模の大きい掲示板ですから、影響がある
ことぐらい想像つきますよね?
irc.2ch.net は無事で、ちょっと寂しかった。
Re:ふーん (スコア:1)
Re:わかりませんかね(笑) (スコア:4, おもしろおかしい)
裏2chに入るには、メール欄にfu(r