OCN全サーバ(aa5除く)規制について

提供:5ちゃんねるwiki
ナビゲーションに移動 検索に移動

2005年7月17日に発生したDoS攻撃事件。

DoS攻撃から現在のにOCNdeny規制に至るまで、あまりに様々なことが短期間に起こった為、すべての状況が掴めない人が多いと思います。

この騒動を共同管理できる2ちゃんねるWikiを利用して、理解しにくい問題を理解して頂きたいと思います。

時系列

2005/07/17
04:00~06:00頃 news19鯖に比較的小規模なアタック
17:50~19:00 news19鯖に大規模なアタック。鯖には影響なし。
19:10~ qb5鯖に大規模なアタック。banana274(qb5/qb6/academy3/science3)重くなり繋がらなくなる。
21:20~ sports2鯖に同様のアタックが起こったらしく、sports2鯖も重くなり繋がらなくなる。
22:20頃 qb5鯖一時復活、ログもちょっとだけ取れたがまたすぐに重くなり繋がらなくなる。
22:45頃 管理人 -> むむむへ対応指示連絡
23:10頃 reffiさん登場、対策検討
23:25頃 おいちゃん登場、qb6リブート
23:30頃 OCN全規制の方針でIP範囲特定作業開始
23:30頃 qb5鯖一時復活
07/18
00:06頃 マァヴがOCNに電話する
00:15頃 banana274が再び重くなる
00:33 OCNが対応を突っぱねて、OCN全域を.htaccessでdenyする方針に
01:10頃 qb6のbbs.cgi等停止
01:30頃 banana274は軽くなり、sports2が再び重くなる(banana274へのアタックはそれからも継続)
2:00頃 qb5鯖復活 OCN全部をdenyする.htaccessを投入(aa5サーバを除いた全サーバが対象)
02:40 sports2鯖が軽くなる
??:?? .htaccessでdenyしているが攻撃は続いているらしい(鯖は重くなっていない)
??:?? OCNからマァヴに返事の電話が来て、先日の対応を平謝り、対応中との事。
??:?? OCN東京のみに規制範囲を縮小
??:?? ート80規制をしたとの連絡が入る
??:?? OCNから、まだ続いているようなのでアカウント停止をしたとの連絡が入る

OCNdeny規制までの流れ

7/17 DoS攻撃をした者のコメント

652 名前:p2248-ipad412marunouchi.tokyo.ocn.ne.jp[] 投稿日:2005/07/17(日)  02:25:55 ID:nInQ4K4p0 
またFOX★か。氏ね! 
だいたい丸の内って東京都近郊も含めて膨大だぞ。 
666 名前:p2248-ipad412marunouchi.tokyo.ocn.ne.jp[] 投稿日:2005/07/17(日) 02:43:04 ID:nInQ4K4p0 
OCNから乗り換えてもな。 
運営が規制したけりゃ、*.odn.ne.jp全規制みたいにできるわけだし。 

匿名掲示板なんてシステムを運用するくらいだから嵐はスルーするか、嵐だけ排除できる    システムをいい加減用意しろよ。 
694 名前:p2248-ipad412marunouchi.tokyo.ocn.ne.jp[] 投稿日:2005/07/17(日) 04:30:50 ID:nInQ4K4p0 
OCNから移っても意味が無い。 
今度はACCAで規制されるだけ。 

結局、再発を防止できないのに規制なんてつまらん運用やってるから進歩が無い。 
いい加減スルーするなり、嵐だけピンポイントで排除できるシステム作れよ。 
707 名前:p2248-ipad412marunouchi.tokyo.ocn.ne.jp[] 投稿日:2005/07/17(日) 05:12:56 ID:nInQ4K4p0 
結局、FOX★が嵐排除できねー糞システムしか作れないから規制してるんだろ。 
漏れが無料なんかでにちゃんねるのメンテなんてやらないよ。 

ひろゆきは電車男でがっぽり印税入ってるんだからまともなハカーでも雇え。 

丸の内を規制している時点で多くの無実な利用者は守れてないけどな。 
実際、 
丸の内で迷惑してる香具師>>>>>超えられない壁>>スレ荒らしで迷惑してる香具師 
だし、民主主義の原則から逝って少数が妥協して嵐をスルーするのが筋。 
712 名前:p2248-ipad412marunouchi.tokyo.ocn.ne.jp[] 投稿日:2005/07/17(日) 06:02:10 ID:nInQ4K4p0 
>>710 
むしろそれを考慮して規制は保留すべき。 
にちゃんねる対応ごときに休日出勤なんて中の人も可哀想だ。 
連休前の規制は無実の多くの利用者が迷惑する。 

news19サーバ(tiger)にDoS攻撃が開始される

843 :▲ 某ソレ511 :2005/07/17(日) 05:01:57 ID:T0XXlOMS0 
なんかあからさまにグラフ変わってる漢字なのが出てきたけど 
これは何のアタックですか 
24 BBON.news19.23038 222.146.194.248 (p2248-ipad412marunouchi.tokyo.ocn.ne.jp)  0
873 :▲ 某ソレ511 :2005/07/17(日) 18:05:06 ID:T0XXlOMS0
またきたきた。ってか9万って。 
24 BBON.news19.90395 219.160.121.245 (p5245-ipad95marunouchi.tokyo.ocn.ne.jp) 1 
876 :▲ 某ソレ511 :sage :2005/07/17(日) 18:23:15 ID:T0XXlOMS0 
バーボンされても同じIPでアクセスし続けると、 
どんどん新しいほうに置き換わっていくのね。 

25 BBON.news19.96839 219.160.121.245 (p5245-ipad95marunouchi.tokyo.ocn.ne.jp)  3 ←さっき 
25 BBON.news19.131283 219.160.121.245 (p5245-ipad95marunouchi.tokyo.ocn.ne.jp) 1 ←いま 
880 :動け動けウゴウゴ2ちゃんねる :sage :2005/07/17(日) 18:46:03 ID:43E0ogsr0 
26 BBON.news19.131799 219.160.121.245 (p5245-ipad95marunouchi.tokyo.ocn.ne.jp) 3 

news19サーバが落ちず、qb系サーバ(banana)にDoS攻撃が開始される

同居しているqb6 academy3 qb5 science3が陥落

運用情報(超臨時)板に移動

812 : ◆MUMUMUhnYI :sage :05/07/17 19:44 ID:T5WwdzKo 
・pingかかる 
・その他は繋がるけど応答なし 

さて、どうしたのかなと。 

運用情報(超臨時)板があるsports2サーバ(サクラ)にDoS攻撃が開始される

132 :動け動けウゴウゴ2ちゃんねる :sage :05/07/17 21:19 ID:wev.DahY
あれ?ここ重くなってない?気のせいならいいけど 

ニュース実況++に移動

news19にアタック、効果ほとんどなし

qb5にアタック、qb5/6/academy3/science3陥落、sports2に避難

sports2にアタック、陥落、それぞれ分散

◆MUMUMUhnYI sage New! 05/07/17 20:01 ID:T5WwdzKo 
さて、とりあえず状況としては、 

・18:00ぐらい~19:00ぐらいにnews19に何かした人がいた 
・でもnews19(tiger)は落とせなかった 
・19:00~ qb5の様子がおかしい 
・pingはかかるが、サービスが落ちている 
・今はログインもできない 
・私が連絡とれる人は今誰もいない 

ってかんじですか。 

とりあえず関係者にメールしておくです。 

qb5 qb6 academy3 qb5 science3サーバ復活

710 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:22:05 ?### 
qb5 ログインできました。 
んじゃ、ログを見てみるか。

再びqb系サーバ爆撃、qb5 qb6 academy3 qb5 science3陥落

715 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:28:56 ?### 
また、だめになったみたいね。
721 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:33:38 ?### 
qb5のhttpdアクセスログだけ採取できました。(現地時間7月17日分) 
見ていますが、変なアクセスはログの上からでは見当たらないっぽいですね。 

qb6/science3/academy3/どのバーチャルホストでもないやつ、 
は、まだ回収できていないです 
723 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:34:02 ?### 
>>721 ということで、別の可能性が出てきたかな。 
728 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:35:50 ?### 
…と思ったら、ログはありました。 
なんだかねぇ。
733 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:37:09 ?### 
どうも、つなぎかえては何かしてるっぽいなぁ。 
735 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:39:07 ?### 
で、ログなんて、システムが無反応になるぐらいやれば、 
所詮とれないかもしれんわけです。
744 : ◆MUMUMUhnYI :sage :2005/07/17(日) 22:46:27 ?### 
管理人から返事が来ました。 

「ログを添付の上プロバイダに連絡し、たんたんと対応すべし」 

とのこと。 

ということで、とりあえずnews19のログとqb5のログ。 

http://news19.2ch.net/_sec2ch/

FOX ★遅れて登場

866 : ◆A/T2/75/82 :sage :2005/07/17(日) 23:25:52 
おーっす 

qb6 りぶーとした 
バーボンリストをqb5 にも配るようにした 
994 : ◆MUMUMUhnYI [sage] :2005/07/17(日) 23:48:10 ?### 
qb6も、攻撃されてたですね。 
ログの場所と、バーボンのCGIです。 

この案件は、プロバイダに報告するログを置いた場所は、 
非公開にしないと、そこを攻撃してくるですね。 

もう相手は、普通の感覚の人ではないかんじ。 

マァヴ ◆jxAYUMI09sによるOCNとの交渉

93 名前:マァヴ ◆jxAYUMI09s [sage] 投稿日:2005/07/18(月) 00:06:42 ?## 
攻撃してきたocnのリモホとIPアドレス教えて(^_^;)ocnにゴルァしてみる 
225 名前:マァヴ ◆jxAYUMI09s [sage] 投稿日:2005/07/18(月) 00:33:34 BE:2155542-## 
1 conには即応する窓口はありません 
2 メールで問い合わせてください 
3 おいらがocnに対して報告した時点以降に2chのサーバが攻撃を受けていることについては理解したうえで何もしません 
ということでした>ocn 
245 名前:マァヴ ◆jxAYUMI09s [sage] 投稿日:2005/07/18(月) 00:36:18  BE:2155924-## 
おいらの個人的見解としてはOCNからのアクセスは全部弾いていいんじゃないかと(^_^;) 
つまりそういう世界でしょ? 
267 名前:名無し草[sage] 投稿日:2005/07/18(月) 00:38:44 
つまりあれか、OCNは荒らし公認プロバイダー? 
545:マァヴ ◆jxAYUMI09s ::2005/07/18(月) 00:49:05 ID:OULIvI1l ?## 
ってことで、残念ながらOCNというプロバイダは2chと接続できなくなる方向になりました(^_^;) 

つまり、あれです"ID"では抑えきれないのです。
しかし、そうしてしまうと一部の階層的問題が在ると云う事に、
出来るだけ、早く理解、対処?検討しなければ?
security.と規制は難しいです。

500 名前:マァヴ ◆jxAYUMI09s [] :2005/07/18(月) 01:47:18 ID:OULIvI1l ?## 
>458 
って可能性があるので、そのあたりの言質はしっかりとりましたよ(^_^;) 
ocnがIPアドレスを割り当てられて、運用責任を持っていることとか 
こういう場合どうするべきなのかとか、結果ocnが何をしでかしているのかとか・・・・ 
相手はすべて理解したうえで 
「当社にはそういう窓口がないので承れないのです」と明言したのです(^_^;)これが 

>ocnユーザーのみなさん 
ということで大変残念ですけど、ocnと2chは文字どおり縁を切ることになったわけです  (^_^;) 
そのうち復縁するかもしれないですけど、とりあえず今は2chのネットワークに 
ocnというプロバイダーが管理するIPアドレスは存在しなくなっています。 
ocnを利用されるということは2chを使わないということであると理解してください(^_^;) 
162 名前: マァヴ ◆jxAYUMI09s 投稿日: 2005/07/18(月) 01:19:11 ID:OULIvI1l BE:1617023-## 
>75 
普通にアクセス拒否する程度であればできるけど 
こういう状況では 
1 逆引きのコストがかさみすぎて、denyするためにサーバが落ちちゃう(^_^;) 
2 そもそもサーバに分散して規制するとサーバ負荷が洒落にならないので、データセン  ターの入り口で弾く 
ということで、リモホで弾くことは、事実上できないのです(^_^;)ほんとならadslだけ弾 けばいいんだけどねー 
649 名前:マァヴ ◆jxAYUMI09s [sage] 投稿日:2005/07/18(月) 01:33:39 ?## 
この問題はね・・・・ 
ocnの基幹サーバでバグが発生して、他社のサーバやネットワークに 
大きな負荷をあたえるような状況と同じなんですよ(^_^;) 
ネットワーク的に見れば、単にocnの割り当てられた(つまりocnが運用責任を引き受けた) 
IPアドレスから不具合なことが引き起こされている。 

で、そのことで迷惑被っていたり、そういう事実に気が付いた人は 
ocnに対して報告するわけです。 
インターネットの仕組みとしては、報告を受けた以上、可及的速やかに 
他者への迷惑を排除すべきなんだけど、ocnはそれを 
「そういう窓口がないので」っていう身勝手な理由で拒否したわけです(^_^;) 

はたしてこういう存在と仲良く相互補助でインターネットを運営していくことができるでしょうか? 
2chが今行っている処理は、ocnに対して規制をかけているのではなくて 
2chとocnの間にあったインターネットという接続を切断するというものなのです。
805 名前:マァヴ ◆jxAYUMI09s [sage] 投稿日:2005/07/18(月) 03:32:55 ?##
>754
最初にお願いしたのは
・サーバにocnのIPアドレスから攻撃があってすでに3台のサーバが落ちている
・すぐに攻撃を止めて欲しい
以上2点だけです(^_^;)
で、最初は担当さんも(障害担当なもんで)意味が判んなかったらしいんだな
で、丁寧にどういう状況かを説明したわけです。
で、もちろん、その窓口じゃらちがあかないのはわかるんで
担当部署に連絡するか、あるいは連絡先を教えてくださいと・・・・
そしたら「そういう部署はocnにはない」という返事だったわけです(^_^;) 
875 名前:マァヴ ◆jxAYUMI09s [] 投稿日:05/07/18(月) 06:05 ID:JLEKqC0E
>857
でも、現実においらには何の権限もないし、2chの設定やサーバを触ることもできないし(^_^;)
しかし、おいらは自分で考えて、自分の意思で行動したのですよ。
で、2chのスタッフはその行動を見て判断して決定し、行動を行った・・・・と。
895 動け動けウゴウゴ2ちゃんねる05/07/18 10:18 ID:6HHPu4mY
てかマァヴはocnに自分のことなんて説明したの?
運営じゃないってことは一般人として?
913 マァヴ ◆jxAYUMI09s 05/07/18 10:21 ID:JLEKqC0E
>895
特になんも(^_^;)

OCNからの回答

お客様

平素はOCNサービスをご利用いただき、ありがとうございます。
OCNテクニカルサポート担当 XXXXXXと申します。
この度はご心労をおかけいたしまして誠に申しわけございません。
お問い合わせの件につきまして、大変申しわけございませんが、
特定の掲示板によるアクセス制限等につきましては、該当のサービス
管理者様までお問い合わせ頂けますようお願いいたします。
正式にサイト管理者様より不正行為に関する情報を弊社宛にご連絡を
いただけましたら、弊社担当部署にて下記のルールにのっとり、
対応させていただいております。
OCNをご利用いただく際の禁止事項について
http://www.ocn.ne.jp/info/rules/rule/
なお、弊社ご利用のユーザー様による掲示板等の迷惑行為が
ございました際にはサービス管理者様より詳細なアクセスログを
ご提示いただき、 abuse@ocn.ad.jp までお問い合わせ頂けませんと、
弊社といたしましても対応することができかねますので、
何卒、ご了承ください。
弊社ユーザーより掲示板等への迷惑行為がございました際は、
お手数ですが掲示板管理者様より、下記情報を添え下記担当窓口まで
お問い合わせいただきますようお願いいたします。
こちらの情報がございませんと迷惑行為を行っているユーザー様を
特定することが出来かねます。
何卒ご理解賜りますようお願い申しあげます。
・該当の迷惑行為が行われた掲示板のURL
・書き込み者のIPアドレス
・書き込み日時
・書き込み内容
又は上記に準ずる掲示板のログ情報
今後一層お客様に快適にサービスをご利用いただけるよう、
弊社一同、サービス品質の向上に更に努めてまいりますので、
今後ともOCNをご愛顧賜りますようお願いいたします。

OCNdeny規制開始

861 名前:FOX ★[sage] 投稿日:2005/07/18(月) 02:00:51 
http://mumumu.mu/tmp/OCN-deny.txt 

OCNのIPを借りているplalaが巻き添え

864 名前: ◆IZUMI162i6 投稿日:2005/07/18(月) 02:01:23 
>>848 
なんか219.165.128.0/17がぷらららしい(>>818)んで、判ってる範囲だけでも 
Permitしてあげられないかなぁ・・とか。 
875 名前:FOX ★ 投稿日:2005/07/18(月) 02:03:25 
>>864 
完全に deny してから 
ぼちぼちできるところは解除かと 
877 名前:root ★ 投稿日:2005/07/18(月) 02:03:40 ?### 
>>864 
どっかに、まとめてください。 
スレに書くと流れてしまうので、まとめのWebとかがいいです。 

>>848 のうち、明らかにOCNではないものについては、 
別途、あけることもできるです。 

まずは閉めることが大事であると判断したです。 

管理人ひろゆき登場

569 :ひろゆき@どうやら管理人 ★ :2005/07/18(月) 04:00:52 ID:???0 ?### 
荒らしたのは、複数のOCN契約者なのか、 
特定の人なのかは聞きだしてほしいなぁ。 
832 :ひろゆき@どうやら管理人 ★ :2005/07/18(月) 08:04:53 ID:???0 ?### 
まぁ、週明けまでOCNからの返事は来ない感じかな? 
842 :ひろゆき@どうやら管理人 ★ :2005/07/18(月) 08:09:30 ID:???0 ?### 
http://www.2ch.net/ 
こっちにメールがきても面倒なので、 
TOPを変えてみた。