パスワードを忘れた? アカウント作成
15086436 story
インターネット

福岡大学公開NTPサービス専用に新しいAS番号、困難を極めるサービス停止に向けた一手か 50

ストーリー by nagazou
とめられないやめられない 部門より
福岡大学が提供している公開NTPサーバーでは、多量のトラフィックがあることから、将来的にはNTPサーバーを止めるという方針が以前から示されている福岡大学過去記事)。しかし、Public DNSではないにも関わらず、福岡大学NTPサーバーには利用者があまりに多く、簡単には止められない状況になっているそうだ。そんな中、とある公開NTPサービスの中の人の一人などのツイートから、福岡大学は公開NTPサービス専用に新しいAS番号を獲得したという話が出ているようだ。さまざまな問題対策のために何かをしているのかもしれない、という推測も出ている模様(Tany氏のツイートYasuyuki Kaneko氏のツイート)。
  • by Anonymous Coward on 2021年01月15日 12時17分 (#3959208)

    IPアドレスごとNTPサーバーを売りに出せば高く売れるんじゃね?

    ここに返信
    • by Anonymous Coward

      そんなもん誰が買うんだ?
      買って何のメリットがあるの?

      #むしろイニシャルとランニング貰って引き継ぐ案件

      • by Anonymous Coward

        クラスBが貰えるなら手を上げるインターネット事業者はたくさんあるでしょう

        NTPサーバの10年間維持義務とセットでクラスBのアドレスを売り出して、
        福岡大はクラスCあたりに移行すればいいよ

        • by Anonymous Coward

          「じゃあ福岡大さんには133.100.11.0/8を渡しますね^^」

          クラスCは/8の同義語じゃないぞ。CIDR(RFC 1338)以前はIPアドレスの上位ビットからネットマスクが暗黙に定まり、独立したネットマスクは存在しなかった。その暗黙のネットマスクが/8になるIPアドレスの範囲をクラスCと呼んでいた。CIDRは文字通りクラスレスであって、ネットマスクはIPアドレスの範囲と無関係に独立して設定されるので、クラスといいう用語自体が廃止された。

          • by Anonymous Coward

            /8は/24の間違い。/8になるのはクラスAじゃん。ループバックアドレスが127.0.0.1/8とか(今となっては)無駄に広い範囲を占めているのは、クラスAの最後のブロックだったから。

      • by Anonymous Coward

        NTPの設定すら変更しないバカどものIPが手に入る
        バカを騙すのが一番金になりまんのやわ

        • by Anonymous Coward

          それがね、IPアドレスハードコードされてて変えられないというひどいのが市販されてた時期があって。
          福岡大はNTPのパイオニアなんですが、日本のサイトだから信頼できるという謎な理由で
          大陸製の機器に使われていたとかその辺の経緯はどこかにまとめられていたはずです

          • by Anonymous Coward

            送りつけてきたところに片っ端から六四天安門事件、チベット独立、台湾独立、くまのプーさんってレスポンスしてあげれば当局が勝手にブロックしてくれるかもしれない

            • by Anonymous Coward

              別に中華ルーターは中国にだけ存在する訳じゃないし
              欧米製にもそういうタチの悪い機器が存在するから無駄

          • by Anonymous Coward

            > 日本のサイトだから信頼できるという謎な理由

            牧歌的な時代だったんですね.

          • by Anonymous Coward

            日本のサイトじゃなくて日本の私立大学のサイトだぞ。日本のサイトだから信頼できるならNICTやmfeedのほうが良さそうなものだが、それでは(日本向けの機器が中国IPにアクセスしている場合と同じ理由で)怪しまれるとか昔ここに降臨した中の人らしい人が言ってた

      • by Anonymous Coward

        スイッチ1つ(応答を止める)で世界中からDDoSが始まるアドレスって研究用に使えないかなぁ
        使えないか

  • by Anonymous Coward on 2021年01月15日 12時18分 (#3959210)

    誰か教えてください。

    ここに返信
    • by Anonymous Coward on 2021年01月15日 12時45分 (#3959231)

      現状の福岡大学NTPサーバの問題は、
      サーバ宛のリクエストは発生し続けているため、
      サーバを止めたり福岡大学の入口で遮断しても、
      福岡大学とバックボーンとの間のトラフィックは切迫したまま、
      という所に対応の難しさがあります。

      その対策としてそもそもNTPサーバのIPアドレス宛のリクエストが福岡大学に届かないようにすればいい、
      ということでNTPサーバだけ別ルーティングにするためにAS番号を取得した、ということかと。

      • by Anonymous Coward

        ピアでQoS設定とかできんのけ?

        • by Anonymous Coward

          クライアント側からのリクエストで逼迫している状況をQoSでどうにかするのは不可能な気がするんだけど。
          UDPだとQoSで制御できることもかなり限られるし。

        • by Anonymous Coward

          それはなんどもそのツッコミがされているけれど、
          対向側のルータで「この設定何だったっけ?なんかいらなそうだからはずそう」と外されたときに即死する、ということで却下されている
          #そんなことあるか?と思うんだけど…

          • by Anonymous Coward

            一般的にISPさんはDoS対策などのためのフィルタを設定してくれますが、それはあくまでも一時的な対応ですね。
            たくさんのBGPルータを管理している立場で、ある顧客に対してだけフィルタを長期間維持することなんか運用的にはかなりやりたくないことだと思います。

          • by Anonymous Coward

            そんなことあるからチェスタートンの柵なんて警句が存在するんだろ

        • by Anonymous Coward

          AS番号ってのはISP同士のルーティングで使うやつ。
          問題のNTPサーバのIPアドレスへのルーティング情報をどうにかしてISP同士の間でルーティング不能にしてしまえば、
          問題となるリクエストはエンドユーザからISPの外向きルータまで到達した時点で配達不能になるのではないかな。
          単にアクセスを遮断するとリトライが飛んでトラフィックが増大するってのが既に実験で実証済みだけど、
          それが各ISPの内側で完結するなら各自勝手にどうにか出来るし最悪放置でも良くなる。
          ……ハズ。

          問題はただでさえごっちゃごちゃなISP間のルーティングテーブルをさらに圧迫しそうな事。
          IPv4アドレスの取り引きで増大していく奴だからどさくさにやっても許され…ると良いね。
          まぁNTPリクエスト飛ばす奴(TP Linkとかな!)が悪いんで苦情はそういう連中へどうぞ、で良いかな……

    • by Anonymous Coward on 2021年01月16日 1時51分 (#3959778)

      関係者ではない AS オペレーターの想像なので、話半分に聞いて下さいね。

      福岡大学のネットワーク (AS18148) にある NTP サーバーに、大量のトラフィックが流れ込んできて困っています。
      それなら、 NTP サーバー宛の帯域を絞れば?とか、 DDoS 対策装置を設置すれば?と思われるかもしれません。
      しかし、トラフィックがあまりにも多いので、他のネットワーク (トランジットを提供してくれる ISP や、インターネットエクスチェンジで peer してくれる他の AS) との接続点が埋まってしまい、自分のネットワーク内でどうにかできる範囲を超えてしまっているのです。おそらく、今は SINET だけがトランジット ISP となっていて、10 Gbps くらいで接続されていると思われます。

      それでは、NTP サーバー宛の通信を別のネットワークに切り出せばよいのでは?と思われるでしょう。
      確かに、 NTP サーバー 2 つの IPv4 アドレスを福岡大学のネットワークではない別のネットワーク回線にルーティングすることができればよいでしょう。そのネットワークには太い回線は必要なく、むしろ品質を落とすことで、ここは使ってはいけないのだと実感してもらうのがよいでしょう。

      AS をまたいだ、つまり "inter-networking" のルーティング情報をやりとりするには、 BGP というプロトコルが使われています。AS の境界にあるルーターが BGP を喋ってお互いの経路情報を交換することで、具体的には AS18148 から 133.100.0.0/16 を (おそらくポリシー上の理由で実際には /16 よりも細かい単位で経路広告しています) SINET (AS2907) に経路広告し、 SINET がさらに Tier-1 ISP と呼ばれる NTT Com (AS2914) に経路広告することで、インターネットのみんなたちは 133.100.0.0/16 宛のパケットをどこに転送すればよいのか知っているのです。

      つまり AS18148 とは別の AS 番号から、または福岡大学本体のネットワークとは別の回線を用意して、そこから AS18148 として NTP サーバー 2 つの IPv4 アドレスを経路広告してしまえばよいのです。
      (AS 番号を変えない後者の方法を punching hole と呼びます)
      BGP では prefix 長が短い (広いブロック) 経路よりも prefix 長が長い (狭いブロック) 経路が優先されるため、より広いブロックのルーティングはそのままに、より狭いブロックだけ別の AS にルーティングできるのです。
      ただし AS 番号を変えない場合には RADB の情報管理や RPKI などで面倒ごとが増えそうに思われます。
      また AS 番号を分離することで、たとえば Cloudflare に AS ごと任せてしまうといった芸当が可能になります。
      このため新規で AS 番号の割り当てを受けることにしたのではないかと思います。

      ここで BGP では、技術的にはどのような IP アドレスブロックでも経路広告することが可能です。
      しかし 2021 年現在のインターネットでは、経路広告情報量の爆発を防ぐために、 IPv4 で /24 未満の経路広告はフィルタして受け取らないようにするのがベストプラクティスとなっています。
      このため NTP サーバー 2 つの IPv4 アドレスだけを別の経路広告とすることはできず、最小でも /24 のブロックで経路広告する必要があります。

      おそらく NTP サーバー 2 つの IPv4 アドレスが属する /24 の IPv4 アドレスブロック 2 つ (133.100.9.0/24 と 133.100.11.0/24 で、 IPv4 アドレス 512 個分) を福岡大学のネットワークとして利用するのを諦め、それら 2 つを AS63785 から経路広告するのではないかと思われます。
      前準備として、それらのブロックにある IP アドレスを使っていた場合には、 IP アドレスを変更してやる必要があります。
      とても大変だったと思います……。

      なお現時点では AS63785 からは何も経路広告されておらず、インターネットには見えていません。

      さらに余談として、 2-octet の AS 番号割り当てを受けるのは、 2021 年現在では少々ハードルが高かった記憶があります。
      どういう「いんちき」をして AS63785 をせしめたのか、大変気になります。

    • by Anonymous Coward

      福岡大学NTPサーバのIPアドレスだけ、福岡大学と切り離して別のルーティングになるんでは?

    • by Anonymous Coward

      AS番号を取得するとBGP4プロトコルによってインターネットエクスチェンジで他のネットワークと自律的に接続することができるようになる。
      この部分のネットワークブロックだけを切り出して世界中に同一反応を返す分散ノードをたやすく設置できるようになる(BGP anycast)。

      以前の観測ではTP-LINKのネットワーク機器は中国とブラジルに大量にあるようなので、
      このノードを中国とブラジルの主要なIXに設置できればだいぶトラフィックが落ち着くようになるはず。

      他のBGP anycastの活用事例としてDNSルートサーバが同一IPアドレスで世界各地にあることやプライベートアドレス逆引きのAS112.netなどがある。

  • by Anonymous Coward on 2021年01月15日 12時43分 (#3959230)

    性善説で互助的な仕組みとはいえ、フリーライドしている私企業や組織を慮る必要ってあるんですか?

    ここに返信
    • by tmiura (6268) on 2021年01月15日 12時49分 (#3959236) 日記

      それで止めてみたらリトライのせいでトラフィックが増えて大学全体の上流の帯域を圧迫したので、単に落とすと自分の首が締まるとわかったそうな。

      で、当該IP宛のトラフィックを大学の外へ持って行くために今回のAS取得、という流れでしょうね。

    • 過去記事読むべし
      // 止めてみたらリトライのトラフィックで福岡大の回線が埋まってしまったそうなのです
    • by Anonymous Coward on 2021年01月15日 12時47分 (#3959232)

      別に相手に配慮しているわけではなく、単に止めても接続リトライでパンクするだけだからだぞ
      無視してれば過ぎ去る時代は終わり、無視してると殴り込んでくる

      「じゃぁ嘘の時刻データを返すことにしてみては?」と思ったこともあるけど
      ネットの死活監視のアクセス先にされてる(返事の時刻データはもはや気にしてない)とかで
      簡単にはいかない

      • by Anonymous Coward

        返事の内容がもはや何でもいいのであればNTPプロトコルを無視して六四天安門とか香港加油とかひたすら送り続ければそのうち金盾が止めてくれませんかね

        • by Anonymous Coward

          天安門プロトコルはスラドの過去記事でも提案されてたけど実効性が疑問だからなあ
          「上手くいったら儲けもの」では対策になり得ない

        • by Anonymous Coward

          「中国製機器」の問題だぞ
          「中国に設置してある機器」ではない

          欧米や南米、アフリカ等世界中から飛んできてる
          しかも別に中国製機器に限らないし購入者がわざわざ設定する訳でもない
          長年あちこちの「便利な疎通確認サーバー一覧」に勝手に入れられっぱなしだったのが原因
          だから全世界の問題のある機器の型番を全て特定して全てのメーカーに怒鳴り込んでリコールさせないと解決しない
          しかもメーカーは大学事務に怒鳴り込まられたくらい何の意にも解さない

          要は無理

  • by Anonymous Coward on 2021年01月15日 13時01分 (#3959245)

    アクセスが多いほどメリットがあれば良いんですけどね。
    アクセスが多いほど仮想通貨マイニングできるとか。誰かつくってほしい。

    ここに返信
    • by Anonymous Coward

      ただのアドウェアでは

  • by Anonymous Coward on 2021年01月15日 14時18分 (#3959297)

    福大ntpにパケット投げつけて来るホストのipアドレス公開

    闇組織にDDoSしてもらい潰す(tp linkの古い機器を投げ捨ててもらう)

    ホストの減少数を計測

    問題は日本国民や日本国内ではお縄になるためできない事かな

    ここに返信
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...