晴れ時々KIT
ネットゲームやホームページ作成が趣味の管理人が日々の生活を日記にしました。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
スパムが消えないのは・・・
最近、Youtubeがきっかけで、動画サイトが非常に人気が高まっています。
そんな中、1月15日にオープンしたばかりのニコニコ動画がなんと一日辺り400万PVという恐ろしい記録を打ち出しています。

ニコニコ動画とはYoutubeの動画を流しながら、その動画の中にコメントを書き込むことが出来ます。
このコメントが、動画のタイムライン上での秒数に紐付いて保存されるため、以降視聴するユーザーは、前のユーザーのコメントが載った動画を見る事が出来ます。

この発想は斬新なゆえ成功し、この動画をきっかけに、ループ地獄の「とかちつくちて」や、妙なパラパラを踊る「陰陽師」や、五寸釘の「魔理沙」や、陰陽師と魔理沙のコラボレーションの歌などが一気に有名になりました。

っとそんなニコニコ動画ですが、今月22日の夜中よりDDos攻撃により一時停止する自体が起きました。
具体的な攻撃内容はメッセージサーバーに対してSYN flood攻撃をされたようです。

このSYN flood攻撃とは一体どんな攻撃なのでしょうか。
SYN flood攻撃の前にまず、TCP接続について軽く説明をします。

TCPの接続とは以下のようにして行われます。
1.クライアントが、サーバに対してSYNビットを立てて送信します。
2.サーバ側は、SYNビットを受け取りクライアントに接続を許可するSYN ACKパケットを送信します。同時にサーバでは接続準備の為、クライアントの接続用の情報を記録領域に格納します。
3.SYN ACKパケットを受け取ったクライアントは、接続開始を表すACKパケットを送信して、サーバとの接続を確立します。

イメージとしてはこんな感じです。
(テキストエディタに貼り付けると綺麗に形になるかも・・・)

1.
┏━━━━━━┓SYNパケット送信┏━━━━━━┓
┃クライアント┃ →→→→→→→ ┃ サーバ  ┃
┗━━━━━━┛         ┗━━━━━━┛

2.
┏━━━━━━┓SYNパケット送信┏━━━━━━┓
┃クライアント┃ ←←←←←←← ┃ サーバ  ┃
┗━━━━━━┛ACKパケット送信┗━━━━━━┛

3.
┏━━━━━━┓ACKパケット送信┏━━━━━━┓
┃クライアント┃ →→→→→→→ ┃ サーバ  ┃
┗━━━━━━┛         ┗━━━━━━┛


SYN flood攻撃とはこの3の操作を意図的に行わないようにして、サーバに対して中途半端な状態にすることです。
悪意のあるクライアントがサーバに対してSYNパケットを送った後、サーバから返されるSYN ACKパケットを無視するので、サーバからするとクライアントからACKパケットが届かないのはネットワーク障害か通信速度が遅いのかどちらかであろうと認識待つわけです。
TCP/IPでは、サーバはクライアントからのACKパケットを一定時間待たないといけません。SYNパケットを一つ受け取るたびに使用するメモリ領域が肥大化していくのです。

今回のSYN flood攻撃は送信元を偽造し、大量のSYNパケットを送り、サーバからのSYN ACKパケットを受け取れないようにしたようです。
この状態を放置すると、メモリを使い果たしTCP接続が一つも出来なくなるライブロック状態に陥り、継続動作するもののシステムダウンと同じ状態になってしまうので、サービス一時停止に踏み切ったのかと思います。
最悪の場合、システムクラッシュしますからね。

では実際どれぐらいの負荷が掛かるかのでしょう。
サーバ帯域を1Gbps のイーサネットと仮定します。
この状態でインターネットが接続されているとすると、外部から送られてくるデータ量は最大約100メガバイト秒です。
1秒間に外部から送信されうるSYNパケットは最大約200万個です。
更にサーバが一つのSYNパケットが来るたびに最低16バイトの情報を必要とします。
これらを計算すると、なんと1秒間に約30Mのメモリを消費してしまうわけです。
サーバは最大で約30秒間SYNパケットを保持しておかなければなりません。
つまり30秒間で900Mのメモリを消費するというとんでもない自体に陥ってしまうわけです。

このSYN flood攻撃は非常に防止が難しいです。
何故ならクライアントから送られてくるSYNパケットが、単に回線速度が遅い、又はネットワーク障害が起きる前に送られてきたパケットであるのか?はたまた悪意があるクライアントが送信元を偽造しているのか?が判断が出来ないからです。
ログを追いかけることによって、あれ?おかしいぞ!っと気付き後手後手になりがちです。
負荷分散するためにTCAMなどの専用メモリを持った高価なルーターを使えば若干良くはなりますが、根本的な攻撃を防ぐのは難しいです。
最近はプロバイダによるEgressフィルタリングも普及してきているので、偽装されたパケットによる攻撃は難しくなっていると言いますが、未だにこうした攻撃がされてますね。

とまぁこれらがSYN flood攻撃の正体です。

んで肝心なニコニコ動画ですが、復旧するかな~って思ってたら、別件でなんとYoutubeからアクセス拒否されて動画が再生出来ない状態になってしまったようです。
そりゃそうだろうなぁw
自分はリスクを背負わず他人の帯域を利用してボロ稼ぎしようってのはちょっと考えが甘いですなぁ。
許可を取ってすれば良い物を無許可で商売に利用しちゃあねぇw
(まぁ1円も払わずに許可は出らんと思うがw)

Youtubeが1日1億PVで2億円サーバ費用が掛かります。
となると1日400万PVを記録するニコニコは、約700万円ぐらいYoutubeに費用を払ってもらっているようなもんですな。
そりゃあアクセス禁止食らうわなw

自前でメッセージサーバ代+700万円を掛けて動画サイトにする資金は恐らく無いでしょうし、JASRACも丁度目を付けていたところなので、今後どうなるのでしょうね?

ただ発想だけは素晴らしく良かったので、もしかすると今後どこかで取り入れられるかもしれませんね。


ランキングに投票する場合はポチっとね





すっきりわかった! TCP/IP

テーマ:インターネット - ジャンル:コンピュータ

コメント
この記事へのコメント
あーれー?キットさんって結構物知りだたのかー
ただ単にえちぃんじゃなかったんだ。
けっこう見直しちゃったよ?ぁ
そうそう、OWNさん閉鎖だねー
更新停滞してると思ったらキタね
私もそうだけどROへの不満はテンコ盛りだったわけで。。
今更する気も起きないROでしたとさ。
2007/02/27 (火) 00:02:15 | URL | ありさ #D4zl0nFc[ 編集]
>ありさ㌧
なんだ、その意外そうな感想はw
OWN閉鎖しちゃって寂しいね~
老舗だったからねぇ
いよいよROも危機が迫ってる??
2007/02/28 (水) 17:03:20 | URL | KIT #-[ 編集]
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
copyright © 2005 晴れ時々KIT all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。