福岡大学公開NTPサービス専用に新しいAS番号、困難を極めるサービス停止に向けた一手か 50
ストーリー by nagazou
とめられないやめられない 部門より
とめられないやめられない 部門より
福岡大学が提供している公開NTPサーバーでは、多量のトラフィックがあることから、将来的にはNTPサーバーを止めるという方針が以前から示されている(福岡大学、過去記事)。しかし、Public DNSではないにも関わらず、福岡大学NTPサーバーには利用者があまりに多く、簡単には止められない状況になっているそうだ。そんな中、とある公開NTPサービスの中の人の一人などのツイートから、福岡大学は公開NTPサービス専用に新しいAS番号を獲得したという話が出ているようだ。さまざまな問題対策のために何かをしているのかもしれない、という推測も出ている模様(Tany氏のツイート、Yasuyuki Kaneko氏のツイート)。
いっそのこと (スコア:0)
IPアドレスごとNTPサーバーを売りに出せば高く売れるんじゃね?
Re: (スコア:0)
そんなもん誰が買うんだ?
買って何のメリットがあるの?
#むしろイニシャルとランニング貰って引き継ぐ案件
Re: (スコア:0)
クラスBが貰えるなら手を上げるインターネット事業者はたくさんあるでしょう
NTPサーバの10年間維持義務とセットでクラスBのアドレスを売り出して、
福岡大はクラスCあたりに移行すればいいよ
Re: (スコア:0)
「じゃあ福岡大さんには133.100.11.0/8を渡しますね^^」
クラスCは/8の同義語じゃないぞ。CIDR(RFC 1338)以前はIPアドレスの上位ビットからネットマスクが暗黙に定まり、独立したネットマスクは存在しなかった。その暗黙のネットマスクが/8になるIPアドレスの範囲をクラスCと呼んでいた。CIDRは文字通りクラスレスであって、ネットマスクはIPアドレスの範囲と無関係に独立して設定されるので、クラスといいう用語自体が廃止された。
Re: (スコア:0)
/8は/24の間違い。/8になるのはクラスAじゃん。ループバックアドレスが127.0.0.1/8とか(今となっては)無駄に広い範囲を占めているのは、クラスAの最後のブロックだったから。
Re: (スコア:0)
NTPの設定すら変更しないバカどものIPが手に入る
バカを騙すのが一番金になりまんのやわ
Re: (スコア:0)
それがね、IPアドレスハードコードされてて変えられないというひどいのが市販されてた時期があって。
福岡大はNTPのパイオニアなんですが、日本のサイトだから信頼できるという謎な理由で
大陸製の機器に使われていたとかその辺の経緯はどこかにまとめられていたはずです
Re: (スコア:0)
送りつけてきたところに片っ端から六四天安門事件、チベット独立、台湾独立、くまのプーさんってレスポンスしてあげれば当局が勝手にブロックしてくれるかもしれない
Re: (スコア:0)
別に中華ルーターは中国にだけ存在する訳じゃないし
欧米製にもそういうタチの悪い機器が存在するから無駄
Re: (スコア:0)
> 日本のサイトだから信頼できるという謎な理由
牧歌的な時代だったんですね.
Re: (スコア:0)
日本のサイトじゃなくて日本の私立大学のサイトだぞ。日本のサイトだから信頼できるならNICTやmfeedのほうが良さそうなものだが、それでは(日本向けの機器が中国IPにアクセスしている場合と同じ理由で)怪しまれるとか昔ここに降臨した中の人らしい人が言ってた
Re: (スコア:0)
スイッチ1つ(応答を止める)で世界中からDDoSが始まるアドレスって研究用に使えないかなぁ
使えないか
AS番号を取得すると何がどーなるの? (スコア:0)
誰か教えてください。
Re:AS番号を取得すると何がどーなるの? (スコア:4, 参考になる)
現状の福岡大学NTPサーバの問題は、
サーバ宛のリクエストは発生し続けているため、
サーバを止めたり福岡大学の入口で遮断しても、
福岡大学とバックボーンとの間のトラフィックは切迫したまま、
という所に対応の難しさがあります。
その対策としてそもそもNTPサーバのIPアドレス宛のリクエストが福岡大学に届かないようにすればいい、
ということでNTPサーバだけ別ルーティングにするためにAS番号を取得した、ということかと。
Re: (スコア:0)
ピアでQoS設定とかできんのけ?
Re: (スコア:0)
クライアント側からのリクエストで逼迫している状況をQoSでどうにかするのは不可能な気がするんだけど。
UDPだとQoSで制御できることもかなり限られるし。
Re: (スコア:0)
それはなんどもそのツッコミがされているけれど、
対向側のルータで「この設定何だったっけ?なんかいらなそうだからはずそう」と外されたときに即死する、ということで却下されている
#そんなことあるか?と思うんだけど…
Re: (スコア:0)
一般的にISPさんはDoS対策などのためのフィルタを設定してくれますが、それはあくまでも一時的な対応ですね。
たくさんのBGPルータを管理している立場で、ある顧客に対してだけフィルタを長期間維持することなんか運用的にはかなりやりたくないことだと思います。
Re: (スコア:0)
そんなことあるからチェスタートンの柵なんて警句が存在するんだろ
Re: (スコア:0)
AS番号ってのはISP同士のルーティングで使うやつ。
問題のNTPサーバのIPアドレスへのルーティング情報をどうにかしてISP同士の間でルーティング不能にしてしまえば、
問題となるリクエストはエンドユーザからISPの外向きルータまで到達した時点で配達不能になるのではないかな。
単にアクセスを遮断するとリトライが飛んでトラフィックが増大するってのが既に実験で実証済みだけど、
それが各ISPの内側で完結するなら各自勝手にどうにか出来るし最悪放置でも良くなる。
……ハズ。
問題はただでさえごっちゃごちゃなISP間のルーティングテーブルをさらに圧迫しそうな事。
IPv4アドレスの取り引きで増大していく奴だからどさくさにやっても許され…ると良いね。
まぁNTPリクエスト飛ばす奴(TP Linkとかな!)が悪いんで苦情はそういう連中へどうぞ、で良いかな……
Re:AS番号を取得すると何がどーなるの? (スコア:2, 興味深い)
関係者ではない AS オペレーターの想像なので、話半分に聞いて下さいね。
福岡大学のネットワーク (AS18148) にある NTP サーバーに、大量のトラフィックが流れ込んできて困っています。
それなら、 NTP サーバー宛の帯域を絞れば?とか、 DDoS 対策装置を設置すれば?と思われるかもしれません。
しかし、トラフィックがあまりにも多いので、他のネットワーク (トランジットを提供してくれる ISP や、インターネットエクスチェンジで peer してくれる他の AS) との接続点が埋まってしまい、自分のネットワーク内でどうにかできる範囲を超えてしまっているのです。おそらく、今は SINET だけがトランジット ISP となっていて、10 Gbps くらいで接続されていると思われます。
それでは、NTP サーバー宛の通信を別のネットワークに切り出せばよいのでは?と思われるでしょう。
確かに、 NTP サーバー 2 つの IPv4 アドレスを福岡大学のネットワークではない別のネットワーク回線にルーティングすることができればよいでしょう。そのネットワークには太い回線は必要なく、むしろ品質を落とすことで、ここは使ってはいけないのだと実感してもらうのがよいでしょう。
AS をまたいだ、つまり "inter-networking" のルーティング情報をやりとりするには、 BGP というプロトコルが使われています。AS の境界にあるルーターが BGP を喋ってお互いの経路情報を交換することで、具体的には AS18148 から 133.100.0.0/16 を (おそらくポリシー上の理由で実際には /16 よりも細かい単位で経路広告しています) SINET (AS2907) に経路広告し、 SINET がさらに Tier-1 ISP と呼ばれる NTT Com (AS2914) に経路広告することで、インターネットのみんなたちは 133.100.0.0/16 宛のパケットをどこに転送すればよいのか知っているのです。
つまり AS18148 とは別の AS 番号から、または福岡大学本体のネットワークとは別の回線を用意して、そこから AS18148 として NTP サーバー 2 つの IPv4 アドレスを経路広告してしまえばよいのです。
(AS 番号を変えない後者の方法を punching hole と呼びます)
BGP では prefix 長が短い (広いブロック) 経路よりも prefix 長が長い (狭いブロック) 経路が優先されるため、より広いブロックのルーティングはそのままに、より狭いブロックだけ別の AS にルーティングできるのです。
ただし AS 番号を変えない場合には RADB の情報管理や RPKI などで面倒ごとが増えそうに思われます。
また AS 番号を分離することで、たとえば Cloudflare に AS ごと任せてしまうといった芸当が可能になります。
このため新規で AS 番号の割り当てを受けることにしたのではないかと思います。
ここで BGP では、技術的にはどのような IP アドレスブロックでも経路広告することが可能です。
しかし 2021 年現在のインターネットでは、経路広告情報量の爆発を防ぐために、 IPv4 で /24 未満の経路広告はフィルタして受け取らないようにするのがベストプラクティスとなっています。
このため NTP サーバー 2 つの IPv4 アドレスだけを別の経路広告とすることはできず、最小でも /24 のブロックで経路広告する必要があります。
おそらく NTP サーバー 2 つの IPv4 アドレスが属する /24 の IPv4 アドレスブロック 2 つ (133.100.9.0/24 と 133.100.11.0/24 で、 IPv4 アドレス 512 個分) を福岡大学のネットワークとして利用するのを諦め、それら 2 つを AS63785 から経路広告するのではないかと思われます。
前準備として、それらのブロックにある IP アドレスを使っていた場合には、 IP アドレスを変更してやる必要があります。
とても大変だったと思います……。
なお現時点では AS63785 からは何も経路広告されておらず、インターネットには見えていません。
さらに余談として、 2-octet の AS 番号割り当てを受けるのは、 2021 年現在では少々ハードルが高かった記憶があります。
どういう「いんちき」をして AS63785 をせしめたのか、大変気になります。
Re:AS番号を取得すると何がどーなるの? (スコア:2)
中国とパレスチナからだと、上海や香港からの東シナ海の海底ケーブル伝わってくるわけで、
パレスチナからなら、インド洋アラビア海紅海経由かしら。
そんな出口のところでなんとかするんじゃなくて、
中国とパレスチナからのパケット処理するルーターでエニーキャストしてやればいいと思うナリね。
Re: (スコア:0)
福岡大学NTPサーバのIPアドレスだけ、福岡大学と切り離して別のルーティングになるんでは?
Re: (スコア:0)
AS番号を取得するとBGP4プロトコルによってインターネットエクスチェンジで他のネットワークと自律的に接続することができるようになる。
この部分のネットワークブロックだけを切り出して世界中に同一反応を返す分散ノードをたやすく設置できるようになる(BGP anycast)。
以前の観測ではTP-LINKのネットワーク機器は中国とブラジルに大量にあるようなので、
このノードを中国とブラジルの主要なIXに設置できればだいぶトラフィックが落ち着くようになるはず。
他のBGP anycastの活用事例としてDNSルートサーバが同一IPアドレスで世界各地にあることやプライベートアドレス逆引きのAS112.netなどがある。
Re: (スコア:0)
2019年3月時点では相変わらず中国と、2位にパレスチナが多いらしい。…パレスチナ?
https://togetter.com/li/1327702 [togetter.com]
どうして簡単には止められない? (スコア:0)
性善説で互助的な仕組みとはいえ、フリーライドしている私企業や組織を慮る必要ってあるんですか?
Re:どうして簡単には止められない? (スコア:4, 参考になる)
それで止めてみたらリトライのせいでトラフィックが増えて大学全体の上流の帯域を圧迫したので、単に落とすと自分の首が締まるとわかったそうな。
で、当該IP宛のトラフィックを大学の外へ持って行くために今回のAS取得、という流れでしょうね。
Re:どうして簡単には止められない? (スコア:2)
// 止めてみたらリトライのトラフィックで福岡大の回線が埋まってしまったそうなのです
Re:どうして簡単には止められない? (スコア:1)
別に相手に配慮しているわけではなく、単に止めても接続リトライでパンクするだけだからだぞ
無視してれば過ぎ去る時代は終わり、無視してると殴り込んでくる
「じゃぁ嘘の時刻データを返すことにしてみては?」と思ったこともあるけど
ネットの死活監視のアクセス先にされてる(返事の時刻データはもはや気にしてない)とかで
簡単にはいかない
Re: (スコア:0)
返事の内容がもはや何でもいいのであればNTPプロトコルを無視して六四天安門とか香港加油とかひたすら送り続ければそのうち金盾が止めてくれませんかね
Re: (スコア:0)
天安門プロトコルはスラドの過去記事でも提案されてたけど実効性が疑問だからなあ
「上手くいったら儲けもの」では対策になり得ない
Re: (スコア:0)
「中国製機器」の問題だぞ
「中国に設置してある機器」ではない
欧米や南米、アフリカ等世界中から飛んできてる
しかも別に中国製機器に限らないし購入者がわざわざ設定する訳でもない
長年あちこちの「便利な疎通確認サーバー一覧」に勝手に入れられっぱなしだったのが原因
だから全世界の問題のある機器の型番を全て特定して全てのメーカーに怒鳴り込んでリコールさせないと解決しない
しかもメーカーは大学事務に怒鳴り込まられたくらい何の意にも解さない
要は無理
アクセスが多いほど (スコア:0)
アクセスが多いほどメリットがあれば良いんですけどね。
アクセスが多いほど仮想通貨マイニングできるとか。誰かつくってほしい。
Re: (スコア:0)
ただのアドウェアでは
サイバーテロと見なして (スコア:0)
福大ntpにパケット投げつけて来るホストのipアドレス公開
↓
闇組織にDDoSしてもらい潰す(tp linkの古い機器を投げ捨ててもらう)
↓
ホストの減少数を計測
問題は日本国民や日本国内ではお縄になるためできない事かな
Re:サイバーテロと見なして (スコア:1)
ルーターのシステムソフトウェアがインターネット接続確認に使っていたりで、使用者も知らない福大NTPへのアクセスがかなりあるそうですよ。
管理してる人間が福大へアクセスしてると知らないから直されることもない。
うじゃうじゃ
Re:サイバーテロと見なして (スコア:2)
okome
Re:サイバーテロと見なして (スコア:1)
あ、「tp linkの古い機器」と書いてますね。見落としてた…
うじゃうじゃ
Re: (スコア:0)
TP Linkに抗議して、全部ファームウェアアップデートさせれば良いですね。TP Linkの昔の機器にはバックドアがあってリモートでファームウェアいじれるそうなので。
Re: (スコア:0)
過去のスラド記事でTP Linkの中の人間が言い訳してたっぽい投稿があったハズ。
疎通確認として他の手段を取るとあらぬ誤解を招くので、
今の悪行を続行するのが最適解、みたいな話だったかな。
Re:サイバーテロと見なして (スコア:2)
「ファームウェアアップデートで、ルータの管理画面を開いている時だけ福岡大NTPにアクセスするようにしました」←??
なおファームウェアアップデートは手動で行う必要がある←?????
という結末だったかと
Re: (スコア:0)
どこぞのルータのファームウェアに福大NTPが直書きされてたことがあったなぁ
Re: (スコア:0)
何やろうが起訴さえされなきゃ問題ないんですよ。ってことで警察が攻撃を仕掛ければ問題ない。
実際に警察は特殊詐欺の発信元の疑いがある電話番号にDoS攻撃してるからアリだ。
Re: (スコア:0)
何でやらないのだろう。勝てそうな気がするだけ?
https://srad.jp/comment/3645093 [srad.jp]
Re: (スコア:0)
当該の福岡大学のNTPのIPアドレスを全部tplink所有のIPアドレス宛に返してあげたらいいんじゃないですかね?
Re: (スコア:0)
日本語でおk
# もしかしてHTTPみたいにかんたんにリダイレクトできると思ってる?
Re: (スコア:0)
だからこそのAS番号取得なのではとか思った。
うまいこと中国に流してあげたら楽しいことになりそう。
Re: (スコア:0)
事情も知らずにドヤ顔で語るバカだな。
Re: (スコア:0)
DHCPやPPPでNTPサーバのアドレス配らないところが多いのでは?