絨毯爆撃食らいますた | 買い物、自重。なバイク乗りの日記

2007/06/01

絨毯爆撃食らいますた

先日夜から日付変更線をまたいだあたりまで、鯖のレスポンスが妙に悪い。
また海外からの TB スパムか？と思って top を見てみると、uif-*.cgi は起動していない代わりに httpd の負荷率が異様に高い。
もしかして ImageMagick 周辺の入れ直しをやって、ついでにゴミパッケージも掃除したからその影響か！？と思ったら、どうやら HTTP GET リクエストの絨毯爆撃を食らっていた模様。

リクエストの発信元は 130.34.113.5。
逆引きを引いてみると opc5.chem.tohoku.ac.jp. でどうやら東北大学のネットワーク内に有るホストの模様。
で、普通なら postmaster@tohoku.ac.jp にメールを投げるところだが、サブドメインを持っているようなのでちょっと調べてみた。

% nslookup -q=NS chem.tohoku.ac.jp.
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
chem.tohoku.ac.jp       nameserver = ns.chem.tohoku.ac.jp.

Authoritative answers can be found from:
ns.chem.tohoku.ac.jp    internet address = 130.34.115.131

% nslookup -q=SOA chem.tohoku.ac.jp.
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
chem.tohoku.ac.jp
        origin = ns.chem.tohoku.ac.jp
        mail addr = postmaster.chem.tohoku.ac.jp
        serial = 2007051001
        refresh = 7200
        retry = 1800
        expire = 3600000
        minimum = 300

Authoritative answers can be found from:
chem.tohoku.ac.jp       nameserver = ns.chem.tohoku.ac.jp.
ns.chem.tohoku.ac.jp    internet address = 130.34.115.131

% nslookup -q=MX chem.tohoku.ac.jp.
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
chem.tohoku.ac.jp       mail exchanger = 10 ns.chem.tohoku.ac.jp.

Authoritative answers can be found from:
chem.tohoku.ac.jp       nameserver = ns.chem.tohoku.ac.jp.
ns.chem.tohoku.ac.jp    internet address = 130.34.115.131

% telnet ns.chem.tohoku.ac.jp. 25
Trying 130.34.115.131...
Connected to ns.chem.tohoku.ac.jp.
Escape character is '^]'.
220 ns1.chem.tohoku.ac.jp ESMTP Sendmail 8.11.6/3.7W; Fri, 1 Jun 2007 11:04:21 +0900 (JST)
QUIT
221 2.0.0 ns1.chem.tohoku.ac.jp closing connection
Connection closed by foreign host.

どうやらメールサーバーを自前で持っているようなので、postmaster@chem.tohoku.ac.jp にメールを投げようかな～とか考えているが、なんかﾏﾝﾄﾞｸｾくなってきたのでこのまま ipfw による BAN でいいか。
範囲は whois で調べてみると 130.34.0.0/16 なので、この範囲でどーんと BAN。
しばらくログ見て似たようなアクセスがあったら管理者に連絡するけど、無いなら外す予定。
# 外してから再発したら連絡するけどね。

メモ：HTTP リクエストの調査方法

# tcpdump -i fxp0 'tcp[13] == 2 and dst net 192.168.1.0/24 and dst port 80'
# tcpdump -X -s 126 -i fxp0 'dst net 192.168.1.0/24 and dst port 80'

ログをバーチャルサーバーごとにわけてるから、こうしないと実際のリクエスト状況がわからんのですよ。

その後も懲りずに絨毯爆撃と思わしきアクセスを時折繰り返している模様。

130.34.157.3
130.34.197.68

無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄ァ！！

アラート上がらないくらいのアクセスならいいだけどね、uptime 上がるか鯖のレスポンス悪くなるか httpd が上がりすぎるかで気がつくんだよね。
アラートが上がって NG と判断した時点で BAN してます。

Google のクローラーのようにお行儀が良いならいいんだけどね。
あれは最速でも 1秒 1リクエストだから負荷が上がらない。

最終：2007/06/02 03:54:27　カテゴリ：インターネット
タグ：鯖管理

蝦兄：大学のネットワーク管理は怖いぞーｗ
各研究室などでフリーに稼働してるマシンが大量にあるから，素人が生半可な鯖を「勝手に」公共マシンに仕込んでたり自宅で見ない違法サイトやアレなサイトを大学でアクセスしてたり，とにかくスパイウェアやらワームやらの温床みたいになってることが多いから．
んで基幹の管理はまったく別のところでやってるから，その辺どうなってるかほとんど関知してないことが多いです．
Ｇ兄＠会社：このままアク禁にしておいた方がいいような気もしてきた・・・ｗ
shi：え～と、下の片方私です。
普通にブラウザで練り唐辛子見てただけなのですが。
爆撃になるほどのアクセスになってますか？
Ｇ兄：爆撃が来る前兆のように見えますね、ipfwのログだと。
片方は30秒の間に 3リクエスト/secを繰り返すというサイクルが何回か有り、片方は5リクエスト/secを3秒間続けたけど収まってます。
6月1日13:56、10:50、16:41、18:51、19:14、19:33にそれぞれ発生してます。
一番怪しいとふんだのは10時50分頃のアクセスですかね。
そもそも今日まる1日は練り唐辛子見えてないはずですが・・・。
Ｇ兄：今確認したところ、resetしてると3回リトライするので最低3リクエストは来るようです。
ただ、3どころじゃ収まってないのもあるのでアレですが。
とりあえず特定のIPアドレスだけallow出来るか試してみます。
ルールの下の方にfwdがあるんで、ただ単にallow出来ないのが困りもの。
Ｇ兄：>shi氏
ipfwのskiptoでとばせることがわかりました。
つきましてはIPアドレスを自分までメールで送っていただけますか？
shi：>そもそも今日まる1日は練り唐辛子見えてないはずですが・・・。
え～と、昨日は見えてないです。
いや職場ついたら、毎日見てたってだけです。
だから、昨日アクセスしたら繋がらなかったので夜帰ってくるまで
ブロックされてるのわからずただ鯖が落ちてると思い一日に何回か
トップページにアクセスしたです。
>つきましてはIPアドレスを自分までメールで送っていただけますか？
あとでメールします。
ついでに大学のこういうの対策する所の連絡先も書いときます
（一度大学に行かないとアドレスがわからんのでこれも後で）
Ｇ兄：メールいただきました。
該当IPアドレスだけ外したッス。
shi：対応ありがとうございました。<(_ _)>
該当IPから閲覧できました。
Ｇ兄＠会社：それはよかったです。:)
何かあったらメールください。
基本として、HTTP 爆撃の際は TCP-80 のみの制限としてますので、よほどのことがない限りメールは届きます故。