パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

福岡大学NTP実験停止でリトライによるトラフィック増加を再確認、今一度ネットワーク機器の確認を」記事へのコメント

  • by Anonymous Coward on 2019年07月03日 16時08分 (#3645082)

    トラフィックを絞っていくやり方もあると思うが影響無いレベルに落ちるのは時間がかかるでしょうね、組み込みとかにも使われてるだろうし

    • by Anonymous Coward

      cnameでntp.nict.jpとかntp.jst.mfeed.ad.jpに向けるんじゃダメなのかな。
      この際Googleに丸投げするのも・・・世界で一番安定してるだろうし。

      • 一部のルータなどが、IP決め打ちでアクセスしてくるようにファームウェアを設定して出荷されてるんですよ。
        で、ユーザ側から設定し直せ無い場合も多々。

        http://motosumiyoshi.cocolog-nifty.com/gyoumuyo/2018/01/ntp-864f.html [cocolog-nifty.com]

        1990年代後半以降に出荷されたルーター機器で、福岡大学のNTPサーバーを、しかもIPでハードコーディングされた製品が出荷され始めます。

        例えば、(槍玉に挙げるつもりは更々ありませんが)アラフォー以上のおっさんならみんな知ってる名機、MN128-SOHOシリーズ。その中でも名機中の名機、SL11の時刻修正機能の仕様として、以下の記載があります。

        「※[NTPサーバアドレス(プライマリ)]を省略したときは、「133.100.9.2」と設定されます。」
        (NTT-ME「MN128-SOHO SL11 活用ガイド」215ページ
         「5-23 本製品の時刻を修正する(時刻修正機能)」より抜粋)

        つまり、ユーザー側が意図して設定してなくても勝手に福岡大学のNTPに接続してしまうということが起こりえるわけです。

        まあMN128-SOHOシリーズは15年以上前の機器ですから致し方ないとして、発表によりますと今でもハードコードした製品を出荷しているメーカーがあるようで。しかも、時刻同期だけじゃなくてネットワーク死活監視用として用いている実装もあるらしいです。

        TP-Link製の無線LAN中継器の一部でこのような実装がされていることが露見しちょっとした話題になりましたが、どうやら氷山の一角だそうなので、民生用の機器については既存も含めて改めて確認しておいたほうがよさそうです。

        親コメント
        • > 一部のルータなどが、IP決め打ちでアクセスしてくるようにファームウェアを設定して出荷されてるんですよ。

          SINET ですよね。
          DDoS mitigationサービスはダメでしょうか?

          DDoS mitigationサービス申請
          https://www.sinet.ad.jp/application_procedures/form-ddos
          親コメント
          • by Anonymous Coward on 2019年07月03日 21時18分 (#3645375)

            とりあえず前回のスライド [janog.gr.jp]くらい読んでから喋ろうな。どうせ読まないだろうから引用しておくと

            よくある質問と答え(3)
            ・Q:上流のISPでフィルタしてもらえば?
            ・A:技術的には可能ですが、ISPで長期に渡りそのフィルタを維持し続けてもらうことが難しいと思っています
             ・様々な製品のファームウェアにアドレスが埋め込まれていることから、リクエストパケットは長期に渡り送られ続けると予想しています
             ・例えば数年後にそのフィルタが意図せず削除された場合、福岡大学に向けて多量のリクエストパケットが流入してくる恐れがあります

            親コメント
          • by Anonymous Coward on 2019年07月04日 9時48分 (#3645667)

            SINETのみに接続しているわけではありません、別コメントで提示されているスライドの9枚目を見てください。
            トラフィックはSINET側よりもOCN側からくるもののほうが多いので、SINETでフィルタしても効果は限定的です。

            親コメント
        • by Anonymous Coward

          なるほどタチが悪い。
          何かの理由でNTPサーバーのIPアドレスが変更になったら時計が狂い続けるデバイスってことか。
          そもそもこのNTPサービスも無保証だろうし、きっぱり切ってもいいと思うけどなぁ。
          問題のあるデバイス使ってるユーザーが時計狂いに気づけばメーカーに問い合わせるだろうし、
          メーカーに対応させれば・・・

          まぁたとえ完全に終了してポートもブロックしてもトラフィックは来続けるって問題は残り続けるか。
          ISPにブロック頼む。

          • by Anonymous Coward on 2019年07月03日 18時26分 (#3645213)

            時刻合わせなんかには使ってない。
            WAN側がインターネットに繋がってるか調べてるだけ。反応がない場合は、インターネットに繋がってないと判断して繋がるまで定期的にリトライをかける。要するにWatchDog。

            で、以前サービスを止めたら、リトライが増えて逆にネットワーク負荷が上がり支障が出た。

            親コメント
            • by Anonymous Coward

              > で、以前サービスを止めたら、リトライが増えて逆にネットワーク負荷が上がり支障が出た。

              そして今回も止めてみて同じ結果になることが確認できただけ

              • by Anonymous Coward

                今回は「支障が出」てはいない。
                どれくらいトラヒックが増えるかのデータ取りと、支障が出ないようにパケットを捨てる方法を決めるための実験。

            • by Anonymous Coward

              問題の製品が使用されなくなるまで(ファームウェアが対策されるまで)続くよね、

    • by Anonymous Coward

      足元を見られているだけの気がするなあ。
      「日本の大学だから、廃止するときもソフトランディングしてくれるだろう」って。
      これが中国の組織だったら、あっさりshutdownでハードランディングなのであった。

      • by Anonymous Coward

        shutdownどころか、まともにメンテナンスされてないものと見なされて攻撃対象になるんでは。

      • by Anonymous Coward

        計画停電で止めたらトラヒックが激増してえらいことになったんだってば。

        • by Anonymous Coward

          ウォッチドッグのつもりでの実装なんだろうけども、数が増え続けた結果、
          プロトコル的に「攻撃して良い?」「勘弁してよ」の関係になってしまっている。
          だから「勘弁してよ」と答えない選択をしたらどうなるかって確認したのだよね。
          そうしたら本当に攻撃が来てしまったと。

アレゲは一日にしてならず -- アレゲ見習い

処理中...