福岡大学NTP実験停止でリトライによるトラフィック増加を再確認、今一度ネットワーク機器の確認を 80
ストーリー by hylom
確認しても簡単には対処できない機器もありそう 部門より
確認しても簡単には対処できない機器もありそう 部門より
昨年、福岡大学が公開NTPサーバーを停止する方針を決定し、実験的にサービスを停止させる試みを行っているが、同NTPサーバーの運営グループが、6月30日に行われたNTPサービス停止実験について報告している。これによると、NTPサービスを止めることでパケットの再送が増え、それによってトラフィックが大きく増加するようだ(Togetterまとめ)。
実験では、6月30日9時にサービスを停止させたところインバウンドのトラフィックが上昇していくことが確認されている。停止前のインバウンドトラフィックが約250Mbpsだったのに対し、サービス再開直前の17時の同トラフィックは700Mbpsを超えたという。
なお、福岡大学のNTPサービスにおいてはインターネット接続を確認するためだけにリクエストを送信するクライアントの存在が確認されており(過去記事)、不正な時刻を返すような実装にすることでは問題が解決しないという。
1989年6月4日 (六四天安門事件) を返せば良い (スコア:5, 興味深い)
133.100.9.2 をハードコーディングした設定は中国製品がほとんどで中国からのアクセスが大部分。
従って、NTPリクエストに対して 1989年6月4日 (六四天安門事件) を常に返せば、中国国内で日付が勝手に1989年6月4日になったと話題になり、
最終的には政府の金盾によって 133.100.9.2 へのアクセス自体がブロックされるようになるはずです。
これは冗談ではなく、おそらく高確率で金盾はブロックしてくれるはずです。
Re:1989年6月4日 (六四天安門事件) を返せば良い (スコア:1)
中国からのアクセスは半分ぐらいだな。
https://twitter.com/tanyorg/status/1105351720421384192 [twitter.com]
Re: (スコア:0)
半分になるだけでも御の字だ
Re: (スコア:0)
パレスチナだけが大量ってのは中国人の使ったTPLINKが横流しされてるって事か
禁輸規制ってあったっけ
Re: (スコア:0)
Re:1989年6月4日 (六四天安門事件) を返せば良い (スコア:1)
それ俺も思った。
国によって検閲対象だったり違法だったりするデータを返すようにすれば、効果があるんじゃないだろうか。
ある日突然あのサービスが悪意あるコンテンツに!やっぱりインターネット性善説は間違いだったんだ!
Re: (スコア:0)
NTPはwebサイトじゃないんだから返せるのは日付だけだぞ
Re:1989年6月4日 (六四天安門事件) を返せば良い (スコア:1)
OpenVPNのパケット応答返すと良い感じにBANしてくれると思う。
Re:1989年6月4日 (六四天安門事件) を返せば良い (スコア:1)
金盾ってFWみたいな間に挟まるフィルタじゃなくて、
横から監視して通信妨害仕掛ける構造って話を以前どこかで読んだんだが……
禁止対象とのTCPセッション開始を見つけるとすかさずRSTパケット流し込むとかなんとか。
UDPなNTPにも十分有効なフィルタも持っているのだろうか。
UDP系のVPN妨害する為の仕組みは必須だからあるとは思うが、
通常の検閲系統とは違うフィルタですぐには追加されないって可能性も結構高そう。
Re: (スコア:0)
大躍進・文化大革命・天安門事件の中国語説明をコンテンツにして、金盾側にそれを申告するってシステムは作れないかな。
できるだけ主役のコンテンツへの影響は避けたいから目立たないリンクと標準化されたアドレス(/gf.htmみたいな)を使って。
金盾側もコンテンツ保有者から中国国内では違法の可能性があるコンテンツの自己申告とか受け入れればいいのに。現状は知らんが、自動化出来たらちょっと便利。
httpsなら特定URLだけブロックはできないし。httpに変換でもしてんのかな。
VPN回避してる中国人からすれば大量のコピペコンテンツ、それも細かな歴史的事実が雑で投げやり感とプロパガンダ感のあるものを見かける事になってうんざりしそうだけど。
オプソ化してそこそこ使われるようになったらそこらへん洗練されていく事になるかも知れんが。
Re: (スコア:0)
同一サーバでWWWサーバ立ち上げて、天安門事件特集すればIPごとブロックしてくれるかもな
Re: (スコア:0)
whois 1.98.96.4 descr: Korea Telecom (KR)
whois 1.98.9.64 descr: Korea Telecom (KR)
whois 1.9.89.64 descr: Telekom Malaysia Berhad (MY)
whois 19.89.6.4 Organization: Ford Motor Company (US)
whois 19.8.9.64 Organization: Ford Motor Company (US)
whois 198.9.6.4 Organization: National Aeronautics and Space Administration (NASA) (US)
whois 8.9.6.4 Organization: Level 3 (US)
中国の企業や組織がこの番号のIPアドレス持ってるわけじゃないんだな
ワロタ (スコア:1)
https://twitter.com/u_ntp/status/1145240743801266176 [twitter.com]
いきなり停止するのではなく (スコア:0)
トラフィックを絞っていくやり方もあると思うが影響無いレベルに落ちるのは時間がかかるでしょうね、組み込みとかにも使われてるだろうし
Re: (スコア:0)
cnameでntp.nict.jpとかntp.jst.mfeed.ad.jpに向けるんじゃダメなのかな。
この際Googleに丸投げするのも・・・世界で一番安定してるだろうし。
Re:いきなり停止するのではなく (スコア:3, 参考になる)
一部のルータなどが、IP決め打ちでアクセスしてくるようにファームウェアを設定して出荷されてるんですよ。
で、ユーザ側から設定し直せ無い場合も多々。
http://motosumiyoshi.cocolog-nifty.com/gyoumuyo/2018/01/ntp-864f.html [cocolog-nifty.com]
Re:いきなり停止するのではなく (スコア:1)
SINET ですよね。
DDoS mitigationサービスはダメでしょうか?
DDoS mitigationサービス申請
https://www.sinet.ad.jp/application_procedures/form-ddos
Re:いきなり停止するのではなく (スコア:2, 参考になる)
とりあえず前回のスライド [janog.gr.jp]くらい読んでから喋ろうな。どうせ読まないだろうから引用しておくと
Re:いきなり停止するのではなく (スコア:1)
SINETのみに接続しているわけではありません、別コメントで提示されているスライドの9枚目を見てください。
トラフィックはSINET側よりもOCN側からくるもののほうが多いので、SINETでフィルタしても効果は限定的です。
Re: (スコア:0)
なるほどタチが悪い。
何かの理由でNTPサーバーのIPアドレスが変更になったら時計が狂い続けるデバイスってことか。
そもそもこのNTPサービスも無保証だろうし、きっぱり切ってもいいと思うけどなぁ。
問題のあるデバイス使ってるユーザーが時計狂いに気づけばメーカーに問い合わせるだろうし、
メーカーに対応させれば・・・
まぁたとえ完全に終了してポートもブロックしてもトラフィックは来続けるって問題は残り続けるか。
ISPにブロック頼む。
Re:いきなり停止するのではなく (スコア:1)
時刻合わせなんかには使ってない。
WAN側がインターネットに繋がってるか調べてるだけ。反応がない場合は、インターネットに繋がってないと判断して繋がるまで定期的にリトライをかける。要するにWatchDog。
で、以前サービスを止めたら、リトライが増えて逆にネットワーク負荷が上がり支障が出た。
Re: (スコア:0)
> で、以前サービスを止めたら、リトライが増えて逆にネットワーク負荷が上がり支障が出た。
そして今回も止めてみて同じ結果になることが確認できただけ
Re:いきなり停止するのではなく (スコア:1)
日本でもこれやってもいいんじゃないかという気が少しだけします(´・ω・`)
IPアドレス変更すればいい (スコア:0)
福岡大学のIPアドレスブロックを変更するか、
無駄にクラスB保有してるIPアドレスの一部を返却(返却IPアドレスにはNTPサーバのIPアドレスを含む)
これやればいいでしょ?
インターネットのBGPルーティングテーブルから行き先が消えれば、
プロバイダのバックボーンルータで破棄してくれる
Re:IPアドレス変更すればいい (スコア:1)
>>プロバイダのバックボーンルータで破棄してくれる
それやって上流ISPやBGP屋さんからクレーム入ったんじゃないかな?以前
133.100.9.2のサブネット(マスク何ビットぐらいか知らんけど)だけ主要IXにハウジングするって手もあるような。
そうすれば廃止NTP関連のトラフィックが福岡大学に向かわなくて済む。
そのハウジング(IXから経路があればそのNWコスト含む)コストと、福岡大学丸ごと別のIPに引っ越すコスト、
どっちが安いかだよね検討課題としては。
NICTの先進的実験案件として丸投げしてしまえば福岡大学は人脈コネ根回しコストだけで済みそうだけど
特定のIPだけ殺す機能がBGPに実装されて普及すれば良いけど、ブロッキング問題でもあるしIETF案件ですな
そういやサイトブロッキング制度にはそぐわないのかな。
Re: (スコア:0)
該当アドレスがインターネットバックボーンのBGPルーティングテーブルから消えれば、
送ってくる側の送信元プロバイダで破棄されるので、そもそも送ってこなくなるんだよな
だから、福岡大学のルータどころか福岡大の上流のルータまでもパケットが届くことは無くなる
Re: (スコア:0)
ドメインも変えないとダメじゃない?
その負担を福岡大が受けるべき理由はなくない?
Re:IPアドレス変更すればいい (スコア:2, 参考になる)
ドメインはもう止めてるよ
https://www.ipc.fukuoka-u.ac.jp/service/ntp/public_ntp/ [fukuoka-u.ac.jp]
2019年3月12日
~略~
DNSレコード(133.100.9.2 と 133.100.11.8 の正引きおよび逆引き)を削除しました。
Re:IPアドレス変更すればいい (スコア:1)
www.ntp.orgのリストから消して欲しいけど、メール送っても返事がない。連絡先知ってる人教えてくれ!って言ってたけど、連絡ついたんだな。
Re: (スコア:0)
IPアドレスべた書きのクライアント実装の可能性が高いのでドメイン名は関係が無い
Re: (スコア:0)
「IPアドレス決め打ちのものがある」は「ドメイン参照してアクセスするものがある」を否定するわけではないよ。
Re: (スコア:0)
メールじゃないし変えるのはNTPサーバのホスト名だけで十分。
Re:IPアドレス変更すればいい (スコア:1)
Re:IPアドレス変更すればいい (スコア:1)
> それをやるとどうなるか、の実験なんですよ。
アドレスブロックの変更はやってませんよ
まず福岡大学はアドレスやアドレスブロックは変えません.NTPサーバーのみを廃止する方針です.
ですからIPアドレスを変えるとかそう言う実験はする意味がありません.
今後,福岡大学は,NTPサーバを止めて,学内とかその上位(NTT)のルーティングでNTPサーバー宛のパケットを廃棄する運用になります.
じゃあ具体的にどれくらいのパケットを破棄すれば良いのか?ネットワーク機器にはどれくらいのスペックが必要か?
それを調べたのが今回の実験です.
Re: (スコア:0)
ネットワーク機器を追加するのとIP変更するのとどっちが安いんでしょうね。
まあURL使ってるハードもありそうですけど。
Re: (スコア:0)
それは実験する必要なんて無いのでは?
IPアドレスを変えちゃう対策を実施すれば、単に、行儀の悪い機器が元福岡大IPアドレス宛に投げるパケットが、その機器が属してるネットワークから外に出るところで宛先不明で棄てられるようになるだけ。通信不可能になったことでパケットを投げる量が何倍に増えるのだとしても、その程度で問題が起こるネットワークってのは「一部の利用者が全力でパケットを投げようとすると不調に陥る」ってことにもなるから、そもそも性能的に論外。
Re:IPアドレス変更すればいい (スコア:1)
?
福岡大が同じクラスBを保持している間は福岡大のゲートウェイまではパケットは届くぞ。
Re:IPアドレス変更すればいい (スコア:1)
たとえクラスB持ってたとしても、/16でインターネットバックボーンにルーティング情報を流す必要はない
インターネットバックボーンのBGPは/24まで流せる
だから、ルーティングを分割して、NTPサーバが所属するアドレスブロック(/24)を2つだけだけルーティング情報流さずに、
それ以外のルーティング情報を分割して流せばいい
DoSの損害賠償をTP-Linkに請求すれば (スコア:0)
この場合、サービスの提供を拒否するのは福岡大学だとしても、
その原因の攻撃を意図的に製品に仕込んで出荷しているのはTP-Linkなのだから。
Re: (スコア:0)
むしろ各ISPに請求する方がスジが通っている。
そして外へ出て行くNTPポートのブロックに努力義務を課せばOK。
賠償請求されたISPはそれぞれのユーザーに警告出して
改善されないようなら同じく賠償請求すればいいんじゃない。
そしてTP-Linkへは集団訴訟と。
Re: (スコア:0)
発信元の多くが海外なのに?
Re: (スコア:0)
海外企業相手でも日本の裁判で賠償請求できますし、実効性はともかく義務を課すことはできますよ。
Re: (スコア:0)
そんな無数のISP相手に訴訟なんてやってられっか。
Re: (スコア:0)
大学に中国企業が金を払う話になると文句言い出すから無理だな
もう (スコア:0)
福岡大学丸ごと別のipアドレスに引っ越した方が良いんじゃないかな…
Re: (スコア:0)
明らかにDDoSされることがわかってるIPアドレスなんて、
事故物件かのごとく扱われるに決まってるじゃないですか・・
だんだんと (スコア:0)
>不正な時刻を返すような実装にすることでは問題が解決しない
すぐに完全には解決はしないでしょうけど、
(本当に)時刻取得目的で使ってる向きは止めさせられるのでは?
1989年6月4日返してればいいと思うよ。
# 向こうの当局から尻もちこまれたらお笑いw
いっそのこと (スコア:0)
いっそのこと、アホみたいにズレた時刻を返すNTPサーバにすればいいんじゃない?
そうすれば、(福岡大学のNTPが終わるのを知らなくても)別なNTPに変更してくれて、自然にアクセスが減って...
Re: (スコア:0)
上のを書いたものです。恥ずかしい、最後に書いてあった。
anycastって最近聞かない? (スコア:0)
上位のルーティングでフィルターするとかブラックホールに吸い込むとか
いっそのことanycastしてしまえと