パスワードを忘れた? アカウント作成
13949300 story
インターネット

福岡大学NTP実験停止でリトライによるトラフィック増加を再確認、今一度ネットワーク機器の確認を 80

ストーリー by hylom
確認しても簡単には対処できない機器もありそう 部門より

昨年、福岡大学が公開NTPサーバーを停止する方針を決定し、実験的にサービスを停止させる試みを行っているが、同NTPサーバーの運営グループが、6月30日に行われたNTPサービス停止実験について報告している。これによると、NTPサービスを止めることでパケットの再送が増え、それによってトラフィックが大きく増加するようだ(Togetterまとめ)。

実験では、6月30日9時にサービスを停止させたところインバウンドのトラフィックが上昇していくことが確認されている。停止前のインバウンドトラフィックが約250Mbpsだったのに対し、サービス再開直前の17時の同トラフィックは700Mbpsを超えたという。

なお、福岡大学のNTPサービスにおいてはインターネット接続を確認するためだけにリクエストを送信するクライアントの存在が確認されており(過去記事)、不正な時刻を返すような実装にすることでは問題が解決しないという。

  • by Anonymous Coward on 2019年07月03日 17時04分 (#3645117)

    133.100.9.2 をハードコーディングした設定は中国製品がほとんどで中国からのアクセスが大部分。

    従って、NTPリクエストに対して 1989年6月4日 (六四天安門事件) を常に返せば、中国国内で日付が勝手に1989年6月4日になったと話題になり、
    最終的には政府の金盾によって 133.100.9.2 へのアクセス自体がブロックされるようになるはずです。

    これは冗談ではなく、おそらく高確率で金盾はブロックしてくれるはずです。

    ここに返信
    • by Anonymous Coward on 2019年07月03日 17時16分 (#3645131)

      中国からのアクセスは半分ぐらいだな。
      https://twitter.com/tanyorg/status/1105351720421384192 [twitter.com]

      • by Anonymous Coward

        半分になるだけでも御の字だ

      • by Anonymous Coward

        パレスチナだけが大量ってのは中国人の使ったTPLINKが横流しされてるって事か
        禁輸規制ってあったっけ

      • by Anonymous Coward
        「六四天安門バンザイ・ユダヤ人は死ね」で大部分ブロックしてくれそう
    • それ俺も思った。
      国によって検閲対象だったり違法だったりするデータを返すようにすれば、効果があるんじゃないだろうか。
      ある日突然あのサービスが悪意あるコンテンツに!やっぱりインターネット性善説は間違いだったんだ!

    • by Anonymous Coward on 2019年07月07日 17時25分 (#3647675)

      金盾ってFWみたいな間に挟まるフィルタじゃなくて、
      横から監視して通信妨害仕掛ける構造って話を以前どこかで読んだんだが……
      禁止対象とのTCPセッション開始を見つけるとすかさずRSTパケット流し込むとかなんとか。

      UDPなNTPにも十分有効なフィルタも持っているのだろうか。
      UDP系のVPN妨害する為の仕組みは必須だからあるとは思うが、
      通常の検閲系統とは違うフィルタですぐには追加されないって可能性も結構高そう。

    • by Anonymous Coward

      大躍進・文化大革命・天安門事件の中国語説明をコンテンツにして、金盾側にそれを申告するってシステムは作れないかな。
      できるだけ主役のコンテンツへの影響は避けたいから目立たないリンクと標準化されたアドレス(/gf.htmみたいな)を使って。
      金盾側もコンテンツ保有者から中国国内では違法の可能性があるコンテンツの自己申告とか受け入れればいいのに。現状は知らんが、自動化出来たらちょっと便利。
      httpsなら特定URLだけブロックはできないし。httpに変換でもしてんのかな。

      VPN回避してる中国人からすれば大量のコピペコンテンツ、それも細かな歴史的事実が雑で投げやり感とプロパガンダ感のあるものを見かける事になってうんざりしそうだけど。
      オプソ化してそこそこ使われるようになったらそこらへん洗練されていく事になるかも知れんが。

      • by Anonymous Coward

        同一サーバでWWWサーバ立ち上げて、天安門事件特集すればIPごとブロックしてくれるかもな

    • by Anonymous Coward

      whois 1.98.96.4 descr: Korea Telecom (KR)
      whois 1.98.9.64 descr: Korea Telecom (KR)
      whois 1.9.89.64 descr: Telekom Malaysia Berhad (MY)
      whois 19.89.6.4 Organization: Ford Motor Company (US)
      whois 19.8.9.64 Organization: Ford Motor Company (US)
      whois 198.9.6.4 Organization: National Aeronautics and Space Administration (NASA) (US)
      whois 8.9.6.4 Organization: Level 3 (US)

      中国の企業や組織がこの番号のIPアドレス持ってるわけじゃないんだな

  • by Anonymous Coward on 2019年07月03日 18時34分 (#3645227)
    ここに返信
  • by Anonymous Coward on 2019年07月03日 16時08分 (#3645082)

    トラフィックを絞っていくやり方もあると思うが影響無いレベルに落ちるのは時間がかかるでしょうね、組み込みとかにも使われてるだろうし

    ここに返信
    • by Anonymous Coward

      cnameでntp.nict.jpとかntp.jst.mfeed.ad.jpに向けるんじゃダメなのかな。
      この際Googleに丸投げするのも・・・世界で一番安定してるだろうし。

      • by Artane. (1042) on 2019年07月03日 16時21分 (#3645095) 日記

        一部のルータなどが、IP決め打ちでアクセスしてくるようにファームウェアを設定して出荷されてるんですよ。
        で、ユーザ側から設定し直せ無い場合も多々。

        http://motosumiyoshi.cocolog-nifty.com/gyoumuyo/2018/01/ntp-864f.html [cocolog-nifty.com]

        1990年代後半以降に出荷されたルーター機器で、福岡大学のNTPサーバーを、しかもIPでハードコーディングされた製品が出荷され始めます。

        例えば、(槍玉に挙げるつもりは更々ありませんが)アラフォー以上のおっさんならみんな知ってる名機、MN128-SOHOシリーズ。その中でも名機中の名機、SL11の時刻修正機能の仕様として、以下の記載があります。

        「※[NTPサーバアドレス(プライマリ)]を省略したときは、「133.100.9.2」と設定されます。」
        (NTT-ME「MN128-SOHO SL11 活用ガイド」215ページ
         「5-23 本製品の時刻を修正する(時刻修正機能)」より抜粋)

        つまり、ユーザー側が意図して設定してなくても勝手に福岡大学のNTPに接続してしまうということが起こりえるわけです。

        まあMN128-SOHOシリーズは15年以上前の機器ですから致し方ないとして、発表によりますと今でもハードコードした製品を出荷しているメーカーがあるようで。しかも、時刻同期だけじゃなくてネットワーク死活監視用として用いている実装もあるらしいです。

        TP-Link製の無線LAN中継器の一部でこのような実装がされていることが露見しちょっとした話題になりましたが、どうやら氷山の一角だそうなので、民生用の機器については既存も含めて改めて確認しておいたほうがよさそうです。

        • > 一部のルータなどが、IP決め打ちでアクセスしてくるようにファームウェアを設定して出荷されてるんですよ。

          SINET ですよね。
          DDoS mitigationサービスはダメでしょうか?

          DDoS mitigationサービス申請
          https://www.sinet.ad.jp/application_procedures/form-ddos
          • by Anonymous Coward on 2019年07月03日 21時18分 (#3645375)

            とりあえず前回のスライド [janog.gr.jp]くらい読んでから喋ろうな。どうせ読まないだろうから引用しておくと

            よくある質問と答え(3)
            ・Q:上流のISPでフィルタしてもらえば?
            ・A:技術的には可能ですが、ISPで長期に渡りそのフィルタを維持し続けてもらうことが難しいと思っています
             ・様々な製品のファームウェアにアドレスが埋め込まれていることから、リクエストパケットは長期に渡り送られ続けると予想しています
             ・例えば数年後にそのフィルタが意図せず削除された場合、福岡大学に向けて多量のリクエストパケットが流入してくる恐れがあります

          • by Anonymous Coward on 2019年07月04日 9時48分 (#3645667)

            SINETのみに接続しているわけではありません、別コメントで提示されているスライドの9枚目を見てください。
            トラフィックはSINET側よりもOCN側からくるもののほうが多いので、SINETでフィルタしても効果は限定的です。

        • by Anonymous Coward

          なるほどタチが悪い。
          何かの理由でNTPサーバーのIPアドレスが変更になったら時計が狂い続けるデバイスってことか。
          そもそもこのNTPサービスも無保証だろうし、きっぱり切ってもいいと思うけどなぁ。
          問題のあるデバイス使ってるユーザーが時計狂いに気づけばメーカーに問い合わせるだろうし、
          メーカーに対応させれば・・・

          まぁたとえ完全に終了してポートもブロックしてもトラフィックは来続けるって問題は残り続けるか。
          ISPにブロック頼む。

          • by Anonymous Coward on 2019年07月03日 18時26分 (#3645213)

            時刻合わせなんかには使ってない。
            WAN側がインターネットに繋がってるか調べてるだけ。反応がない場合は、インターネットに繋がってないと判断して繋がるまで定期的にリトライをかける。要するにWatchDog。

            で、以前サービスを止めたら、リトライが増えて逆にネットワーク負荷が上がり支障が出た。

            • by Anonymous Coward

              > で、以前サービスを止めたら、リトライが増えて逆にネットワーク負荷が上がり支障が出た。

              そして今回も止めてみて同じ結果になることが確認できただけ

  • by Anonymous Coward on 2019年07月03日 16時11分 (#3645084)

    福岡大学のIPアドレスブロックを変更するか、
    無駄にクラスB保有してるIPアドレスの一部を返却(返却IPアドレスにはNTPサーバのIPアドレスを含む)
    これやればいいでしょ?

    インターネットのBGPルーティングテーブルから行き先が消えれば、
    プロバイダのバックボーンルータで破棄してくれる

    ここに返信
    • by Anonymous Coward on 2019年07月03日 18時12分 (#3645197)

      >>プロバイダのバックボーンルータで破棄してくれる

      それやって上流ISPやBGP屋さんからクレーム入ったんじゃないかな?以前

      133.100.9.2のサブネット(マスク何ビットぐらいか知らんけど)だけ主要IXにハウジングするって手もあるような。

      そうすれば廃止NTP関連のトラフィックが福岡大学に向かわなくて済む。

      そのハウジング(IXから経路があればそのNWコスト含む)コストと、福岡大学丸ごと別のIPに引っ越すコスト、
      どっちが安いかだよね検討課題としては。

      NICTの先進的実験案件として丸投げしてしまえば福岡大学は人脈コネ根回しコストだけで済みそうだけど
      特定のIPだけ殺す機能がBGPに実装されて普及すれば良いけど、ブロッキング問題でもあるしIETF案件ですな

      そういやサイトブロッキング制度にはそぐわないのかな。

      • by Anonymous Coward

        該当アドレスがインターネットバックボーンのBGPルーティングテーブルから消えれば、
        送ってくる側の送信元プロバイダで破棄されるので、そもそも送ってこなくなるんだよな
        だから、福岡大学のルータどころか福岡大の上流のルータまでもパケットが届くことは無くなる

    • by Anonymous Coward

      ドメインも変えないとダメじゃない?
      その負担を福岡大が受けるべき理由はなくない?

  • by Anonymous Coward on 2019年07月03日 16時18分 (#3645093)

    この場合、サービスの提供を拒否するのは福岡大学だとしても、
    その原因の攻撃を意図的に製品に仕込んで出荷しているのはTP-Linkなのだから。

    ここに返信
    • by Anonymous Coward

      むしろ各ISPに請求する方がスジが通っている。
      そして外へ出て行くNTPポートのブロックに努力義務を課せばOK。

      賠償請求されたISPはそれぞれのユーザーに警告出して
      改善されないようなら同じく賠償請求すればいいんじゃない。
      そしてTP-Linkへは集団訴訟と。

      • by Anonymous Coward

        発信元の多くが海外なのに?

        • by Anonymous Coward

          海外企業相手でも日本の裁判で賠償請求できますし、実効性はともかく義務を課すことはできますよ。

          • by Anonymous Coward

            そんな無数のISP相手に訴訟なんてやってられっか。

    • by Anonymous Coward

      大学に中国企業が金を払う話になると文句言い出すから無理だな

  • by Anonymous Coward on 2019年07月03日 17時43分 (#3645166)

    福岡大学丸ごと別のipアドレスに引っ越した方が良いんじゃないかな…

    ここに返信
    • by Anonymous Coward

      明らかにDDoSされることがわかってるIPアドレスなんて、
      事故物件かのごとく扱われるに決まってるじゃないですか・・

  • by Anonymous Coward on 2019年07月03日 18時27分 (#3645214)

    >不正な時刻を返すような実装にすることでは問題が解決しない
    すぐに完全には解決はしないでしょうけど、
    (本当に)時刻取得目的で使ってる向きは止めさせられるのでは?
    1989年6月4日返してればいいと思うよ。
    # 向こうの当局から尻もちこまれたらお笑いw

    ここに返信
  • by Anonymous Coward on 2019年07月03日 18時54分 (#3645253)

    いっそのこと、アホみたいにズレた時刻を返すNTPサーバにすればいいんじゃない?
    そうすれば、(福岡大学のNTPが終わるのを知らなくても)別なNTPに変更してくれて、自然にアクセスが減って...

    ここに返信
    • by Anonymous Coward

      上のを書いたものです。恥ずかしい、最後に書いてあった。

  • by Anonymous Coward on 2019年07月03日 21時01分 (#3645360)

    上位のルーティングでフィルターするとかブラックホールに吸い込むとか
    いっそのことanycastしてしまえと

    ここに返信
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...