266 ：root▲▲ ★：2010/03/03(水) 01:43:18 ID:???0 
で、寝る前に適当に書いておこうかと。

今回のは、

上流(複数ある) =★= PIE

の、★の部分を全部埋め尽くされたのが負けの原因なわけで、

・埋め尽くされないようにする
・埋め尽くされても全部が止まらないようにする

というのが、何らかの対応策の方向性、ということになるのかなと。

で、今回のがどうだったのかは分析待ちだと思いますが、
2003年あたりから始まった隣の国方面からの攻撃は、
年を追って進歩してきています。

最初は単純な httpd (TCP port 80)への手動っぽい高アクセスでした。いわゆる F5 
で、それがツールにより自動化され、
で、ツールが進化して httpd に大量のデータを送りつけるようになり、
次に、フィルタされた後の繋ぎ替えを覚えました。
ここまでは「サーバに負荷をかけてつぶす」方向性でした。

で、「ボボンハウス」とかに案内されるようになり、
それを見て日本が負けたと思った、なんて笑い話もあったわけでう。

(続く)

269 ：root▲▲ ★：2010/03/03(水) 01:51:53 ID:???0
(続き)

最近の流行は、帯域を埋め尽くす方向性です。
UDPででかいデータ(4000バイトぐらい)を送りつけるパターンが流行しています。
最初はIPアドレスとして生々しい韓国からのアドレスを使っていましたが、
だんだんと詐称するようになりました。(UDPだとIPアドレスの詐称は容易です)

で、これは、最初からサービスをつぶすのが目的なので、
やるほうも当然DNSなんか参照せず、IPアドレスで直接攻撃してきます。
だから、サーバを止めても攻撃の手はゆるまないことが多く、
サーバだけを止めても、あまり意味がありません。

で、詐称に加え、最近だとbotを使って、
より計画的にDDoSをするようになってきました。
これだと、コマンド一つで数GのDDoSを多方面からかけるのも、お茶の子さいさいです。
で、韓国からコントロールできるbotに入ってしまっているPCが
仮に日本にあれば、日本からもDDoSがPIEにいくことになります。
もちろんその発信元IPアドレスは詐称されているかもしれません。

あと、最近だと実際のサーバのIPアドレスを狙うのではなくて、
その近辺というか、そのサービスが入っているiDCのIPアドレスブロックを
くまなく狙うタイプのDDoSも存在します。
ようは、www.2ch.net = 206.223.154.230 をつぶしたい場合、
206.223.154.230 そのものではなく、
206.223.154.0/24 や 206.223.144.0/20 にくまなくDDoSを送ってくるパターンです。

で、最終的に »266 のように、その iDC の出口を全部埋め尽くすことができてしまえば、
その iDC にハウジングしているサイト(2ch)をつぶすことができるわけです。

288 ：root▲▲ ★：2010/03/03(水) 02:48:51 ID:???0
お風呂あがり。

ひとこと付け加えておくと、
»266-271 あたりに書いた攻撃パターンの進化では、
パターンが「変化する」のではなく「付け加わっていく」ということが重要です。

つまり、攻撃方法が進化することにより、
F5さんやhttpd大量送りつけさん達が「いなくなる」のではなく、
新たな攻撃方法が「付け加わっていく」ことになるです。

そんではねるです。
どうもブートアップ作業はこっち↓でやってたみたいすね。

2009/12/28 Y
http://b03.30.kg/test/read.cgi/afox/1261926000/