DDoS攻撃と見られる大量のトラフィックによりスラドを含む国内の複数サイトがダウン 94
ストーリー by hylom
ご迷惑をおかけしました 部門より
ご迷惑をおかけしました 部門より
8月末より、国内の複数サイトに向けDDoS攻撃が行われ、サイトが閲覧できないなどのトラブルが発生した(piyolog)。特に家電量販店大手のヨドバシカメラが攻撃された件についてはIT関連メディアだけでなく一般メディアでも報じられている(産経ニュース、ASCII.jp)。なお、現在では多くのサイトが復旧している。
スラドも9月1日の21日ごろよりDDoS攻撃と思われる大量のトラフィックにより閲覧がしにくい状況となっていた。スラドにおける攻撃および対処に関するタイムラインは以下のとおり。
- 9/1 21:00ごろ
- srad.jpおよびosdn.jpへのアクセスが行えなくなっていることを確認
- 9/1 21:50ごろ
- srad.jpおよびosdn.jpで利用しているコロケーションサービスの提供元であるIIJから弊社(OSDN)の担当者に「大量のトラフィックが来て回線設備に問題が発生したため、上位で一時的にトラフィックを止めている」という連絡が入る。この時点では弊社ネットワーク向けのトラフィックがすべて止まった状態になり、巻き添えによってosdn.jpもアクセス不能になる。弊社内でのログ解析によりDDoS攻撃らしき痕跡は確認されたものの、トラフィックは上位で止められているため弊社では対応できず
- 9/1 23:40ごろ
- 攻撃が収束したため、IIJによるフィルタがいったん解除される
- 9/2 0:00ごろ
- 再度攻撃が行われ、IIJによるフィルタが再度適用される。フィルタが適用される前のネットワーク状況を調査したところ、srad.jpに割り当てられている202.221.179.13に対し、約4.7万のユニークIPアドレスからのDNSの戻りクエリが殺到していることが判明、DNS Ampによる攻撃の可能性が高いと推測される。また、IIJ網内からはsrad.jpにアクセスできることから、IIJ網とインターネットとの境界でトラフィックのフィルタリングを行っていると推測
- 9/2 0:22ごろ
- IIJより、202.221.179.13へのトラフィックをフィルタしていることが通知される。また攻撃の規模が非常に大きいため、IIJ側でのUDPのみのフィルタリングやポート単位でのフィルタリングは行えず、202.221.179.13へのトラフィックをすべてフィルタする対応しか行えないことが判明
- 9/2 1:00ごろ
- srad.jpのIPアドレスを202.221.179.40に変更。これによりsrad.jpへのアクセスが復旧する。
- 9/2 12:00ごろ
- 202.221.179.13に加えて202.221.179.40への攻撃も行われ、再度IIJによって弊社ネットワーク全体へのトラフィックがフィルタされる。この影響でosdn.jpがアクセス不能に
- 9/2 12:20ごろ
- IIJによるフィルタが202.221.179.13および202.221.179.40のみに変更され、osdn.jpへのアクセスが復旧
- 9/2 15:00ごろ
- srad.jpと同じ202.221.179.40に割り当てていたsrad.jpのサブドメイン(apple.srad.jpなど)を、202.221.179.48に変更。これによりサブドメインへのアクセスは復旧。緊急避難用ドメインとしてindex.srad.jpを提供開始。
- 9/2 17:00ごろ
- 新たにm.srad.jpに割り当てている202.221.179.14へも攻撃が行われ、このIPアドレスもIIJによるフィルタ対象に追加される
- 9/2 22:00ごろ
- 202.221.179.48や202.221.179.11(osdn.jp)にも攻撃が行われ、弊社ネットワーク全体へのトラフィックがフィルタされる。この攻撃は短期間で収束し復旧する
- 9/3 0:00ごろ
- 202.221.179.48にも攻撃が来たことから、srad.jpのサブドメインを202.221.179.40に戻す
- 9/3 12:30ごろ
- 202.221.179.11に攻撃が行われる。攻撃は短時間で収束し復旧
- 9/3 18:00ごろ
- 202.221.179.11に攻撃が行われる。攻撃は短時間で収束し復旧
- 9/3 21:30ごろ
- 攻撃が短時間になっていることと、弊社ではできる対応が限られていることからIIJにフィルターの解除と監視・報告の停止を要請
- 9/3 22:45ごろ
- フィルターの解除を確認
GMOひどいな (スコア:2, 興味深い)
2014年5月
DDoS攻撃されたらそこで試合終了!? レンサバから利用停止を宣告される前にできる8つの対策 [qiita.com] スラドの記事 [it.srad.jp]
2015年4月
DDoS攻撃を喰らったらConoHaを解約する羽目になった話 [gyafuuuun.com]
2016年8月(今回)
再度サーバを引っ越しました [ie-t.net]
DDoSのたびに対象ホストを解約してるらしい。
P2P BBSとか分散SNSとか (スコア:1)
P2P BBSとか分散SNSとかにしてあれば、DDoSくらっても平気なような気もしますがどうでしょうか。
新月 (掲示板) [wikipedia.org]
どのくらい実用的なのか? 個人的には匿名性は重要ではないと思ってる。RedditやTwitterみたいなID制でよいかな。
Diaspora (social network) [wikipedia.org]
これは分散型SNSのひとつだけど、最近どうなったのだろう。私もID持ってはいるけど、アクセスしなくなった。一時期ポストFacebookみたいに言われたこともあったけど。
Twitterから閉めだされた「イスラム国」、分散型SNSのDiasporaに乗り換え [itmedia.co.jp]という話もあるようだ。
あと、TwitterとかTumblrその他のネットワークに記事やコメントを投稿して、各自が専用のソフトで再構成するとSrad.jpが実質的に構築できる、というようなバーチャルなBBSというかSNSがあれば、DDoSには耐性があるかも。
Re:P2P BBSとか分散SNSとか (スコア:1)
P2P BBSとか分散SNSとかにしてあれば、DDoSくらっても平気なような気もしますがどうでしょうか。
否定する科学者も多いのですが、かつてNetNewsという超古代文明がありました。
日本にはfj文明(文化)が存在し、現在の日本人の数パーセントはその末裔とも言われています。
Re:P2P BBSとか分散SNSとか (スコア:1)
NetNewsのこと忘れてました。というか、srad.jpがDDoSで止まっていたときは思い出してたんですが。あと、mailing listもありました。いまでもありますけど。こういうのはDDoS耐性高いですね。
NetNewsの機能を部分的に使って、それにスマホ的なUIを被せて、さらに様々な味付けすれば、もしかしたら、現代に蘇るかもですね。
about fj.sus.rs6000 [google.com]みたいな、別の脆弱性?はあったようですが。
ただでは転ばなかったか (スコア:1)
やっぱりネタにした
#これぐらい逞しくないといかんのだろうな
ヨドバシさんが気の毒 (スコア:0)
まぁ、はっきり言って、すらどみたいな掲示板や場末のネットゴシップサイトなんかが止まっても(アクセスする手間を除けば)個人的な損害も無ければ社会的な迷惑もないが、ヨドバシが止まって困ったという人は俺を含めていっぱいいるんだろうなあ。
ヨドバシ以外は社会的、経済的に影響の大きいサイトは無かったみたいだね。犯人は何したかったんだろう。
Re:ヨドバシさんが気の毒 (スコア:1)
だとしてもだ、午前4時にZabbixからのメールで叩き起こされた一部のスラド民にとっては迷惑な話なのさ
(そして技術評論社に土下座で謝れ、You fuckin' asshole! GMOクラウドとConohaを強制解約された哀れな連中にもな!)Re: (スコア:0)
> ヨドバシ以外は社会的、経済的に影響の大きいサイトは無かったみたいだね
そういう風に前置きで定義してんだから、そりゃあそうでしょうよ
犯人 (スコア:0)
捜査は始まってるのかな?DDoSだから難しそうだけど、FBIとかに協力もらえんのかな。
Re:犯人 (スコア:2)
目星つけてとかやらないと無理じゃないかなあと思ってます
取引所も素直にと取引情報提示してくれそうにありませんが
換金しなくても色々できるようになったので
BitCoinをわざわざ現金化とかしないでしょうね
Re:犯人 (スコア:5, 興味深い)
ところがそうでもなく
この手のDDoS攻撃請負屋は表向きはまっとうなサイト向けの負荷テストをやっていることになっているので、警察が踏み込んでくると「俺たち合法だよ騙されてたんだよ」ってポーズをとってあっさり情報を渡すんだそうな。その上で本人達は身元を隠しているから報酬はまるっと受け取って返さないし、警察も奴らが本命じゃないから情報さえ出ればそれ以上手を出さない。昔のクラッカー集団とかと違って、今の彼らビジネスだからな。
素直に依頼者の情報割るくせに依頼が絶えないのは、それだけ普段は警察が動かないということ、泣き寝入りが多いって事なんでしょうな。
ただ、今回はヨドバシが攻撃受けてる。
ヨドバシは単体で年間売上高800億円以上と推測される国内のECサイト第四位。3日攻撃を受けたけど、均等割で6億円近い被害が出てることに。これだけ被害額があれば警察も動くんじゃないかなあ。犯人が日本人だったら捕まえるとお思うよ。
え?
スラド?
スラドなあ。
OSDNならともかく、スラドなんぞじゃ警察は動かないんじゃね。
つうか攻撃の本命はOSDNじゃねえかなあ。最近外国の同種のサイトがいろいろとアレで難民みたいにosdnに流れてきてるプロジェクトあるみたいじゃん。で、その外国のサイトがやってる事ってマルウエアくっつけたり、マルウエアの広告バナーを出したりしているわけよ。それを嫌がってまだ全うにやってるosdn.jpに逃げてきてるわけ。
でさ、そんなマルウエアをくっつけるような事やってる連中が嫌がらせにDDoSぐらいやるんじゃねえの。
知らんけど。
おや、誰か来たようだ
Re:犯人 (スコア:1)
>6億円近い被害が出てることに
失ったのは機会であって別に商品が消失したわけじゃないし、一部の人はサービス不能な期間に別のショップで買ったかもしれないけれど、サービス再開するまで待ってヨドバシで買った人もいるだろうから、被害額としたら数百万程度じゃないですかねえ。
Re: (スコア:0)
VLCが離脱直後にDDoS攻撃受けたときはSourceForge(の運営会社)のしわざに違いないと考えてたね
Re: (スコア:0)
まっとうなサイト向けの負荷テストをやっていることになっているなら直接攻撃に関与するIPは全てその業者の
所有物で有ると言うことになるけどそうなの?
それならそのIPをフィルタリングするだけで済むはずでは?
Re:犯人 (スコア:1)
すまん、ピザ屋だったわ
Re: (スコア:0)
話が読めないのだけど、なんでいきなりBitCoinの話が出てくるの?
Re:犯人 (スコア:2)
BitCoinで支払いができるDDoS攻撃代行サイトがあるんじゃないかと。
theInsiderman(-1:フレームの元)
Re:犯人 (スコア:1)
そもそもBitCoinって、Bitcoinのことですか?
Re:犯人 (スコア:1)
Bitcoinを支払わなければDDoS攻撃するぞ、と脅迫する、DD4BCというのがかつて流行った時代があったからでは?
Re:犯人 (スコア:2, 参考になる)
攻撃を受けたサーバー [hatena.ne.jp]が犯人の日頃の利用サイトだとすると、
かなり「濃い」人物だなw
Re:犯人 (スコア:1)
趣味性出てるよねぇ…
犯人はmoriwaka -- Anonymous Coward (スコア:1)
スラドでよく見かけるフレーズなのですが、まさか moriwaka さんが(違
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
趣味性?
Re: (スコア:0)
一見すると何の関連性もないサイトなんだけど
何か繋がりがあるんだろうなぁ~
これらサイトの通信をシャットアウトしている上流のどこかに
工作員が何かを仕込んだネットワーク機器を置くためにやっているとか……
Re: (スコア:0)
ニコニコ大百科 www
ディスられて暴言吐いたら削除された、とかありそう
Re: (スコア:0)
「小説家になろう」のサイトも含まれているので、もしかすると投稿した作品の評価がボロカスだったことを逆恨みして犯行に及んだ、とかだったりして
犯人は日本人か (スコア:2)
https://twitter.com/shujisado/status/771624962184450052 [twitter.com]
「先程から再度 IIJ側で落とされているようだ。よって、OSDNもスラドのセクションもつながらない。スラドのサブドメインの変化にわざわざ追従されているような感じだが、国内IPの踏み台も多かったし、何か日本語分かっているような気がするね」
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
> なろう」
あぁ、先月くらいからちょくちょく投稿されてる意味不明な長文日記って、そういうところへ投稿しようとしてダメだった、とかなん?
Re:犯人 (スコア:1)
そのわりにはカクヨムがリストになかったのが謎
// 保険のためなのかカクヨムとなろう両者に掲載する作者はそこそこいる
Re: (スコア:0)
Anonymous犯人説に納得がいってしまうラインアップ
Re: (スコア:0)
犯人は匿名ではない犯人は寿明または利昭
Re: (スコア:0)
単に無差別攻撃の結果DDoSに弱いサイトが炙りだされただけでしょ。
spammerがbotnetを構築するとき、あたたかみのある手作りのリストを元にしているとでも思ってるの?
Re: (スコア:0)
オタクな情報産業関係者が使うサイトを狙い撃ちしたようにも見えますけど。
普通ボットネットに組み込むマシンは無作為に選ぶ(というか手当たりしだいに招待して来るものは拒まずか)でしょうがボットネットを使って攻撃する対象はまああなたの言うあたたかみのある手作りのリストを元にしている場合もあれば不特定多数のサイトを攻撃したうえでその内落ちそうなものに攻撃を集中させる場合もあるでしょうね。
Re: (スコア:0)
SYN Floodも (スコア:0)
関係があるかどうかわかりませんが先週からSYN flood攻撃を断続的に受け続けています。
ファイアウォールで回避できないほどの量が来ることもあって困り果ててます。
被害届を出すべきなんでしょうか。
え?掃除のおばちゃんじゃなかったの? (スコア:0)
ほんと
こんなところ攻撃して何がしたかったのやら
Re:え?掃除のおばちゃんじゃなかったの? (スコア:1)
ブロードキャスト ストォォーム!! (おばちゃんの必殺技)
で、犯人は誰なんですかね? (スコア:0)
yodobashi.comとスラドを執拗に攻撃するとか、意図がよくわからんのですが??
Re:で、犯人は誰なんですかね? (スコア:1)
少なくともスラド側の発表を読む限り、スラド側が行った対策に対応して攻撃をエスカレートさせてるから、偶然の巻き添えとか、ヨドバシのついでに、って感じじゃないよね。
本当に何を意図したんだろう……
Re:で、犯人は誰なんですかね? (スコア:1)
むしろ長期間攻撃されたサイトは目くらましで、序盤に攻撃を止めたサイトとか、あるいは途中から攻撃対象に追加されたサイトが本命かもしれない
動機を隠すという意味で「木の枝を隠すなら森の中」みたいな感じの発想に至ったとしたら、というのはある
Re:で、犯人は誰なんですかね? (スコア:1)
DDoSしつつ、侵入するとか、DDoS騒ぎで手薄になった別のところに侵入するとか。ちょっと無理があるかな。
Re: (スコア:0)
PCデポかBaiduかゴルスタあたりの関係者じゃないですかね。親会社凸や回線業者凸で閉鎖させることができなかったから実力行使に出たと。
Re: (スコア:0)
不審者対策の刺股・手裏剣完備ですぐ近くに西日暮里駅前交番があるロケーションだからリアル突撃は難しいだろうな
Re:で、犯人は誰なんですかね? (スコア:1)
刺又(刺股、刺叉とも呼ぶ)は斬りあうことなく無力化させるということで納得だが
手裏剣を準備してある交番というのは何を意図しているのかちょっと悩むなあ。
Re:で、犯人は誰なんですかね? (スコア:2)
手裏剣が完備なのは襲撃現場の方ですか…誤読しました。
それはそれで剣呑。
Re: (スコア:0)
この件で誰が利益を得るかを考えると、某DDoS対策サービスのCloudF…(日記はここで途切れている)
Just a moment... (スコア:1)
# これ見ると憂鬱な気分になる。
Re: (スコア:0, すばらしい洞察)
Re:ちゃんと書け (スコア:1)
お、Morphy Oneのときに取り巻きの人が似たようなこと言ってましたね。
なつかしいなぁ。
Re: (スコア:0)
hylom氏は編集時の間違いが多いだけで日本語に不自由なわけではないと思うが