F5アタック…??

投稿日:

はっと気付くと、今日は朝からルータのランプがずーっとちかちかし続けてます。このホストはサーバを公開してる訳なんでだいたい常にトラフィックはあるんですが、今日のチカチカはいつもに比べて頻度が高く、かつひじょーに長い。

「はて?」と思いつつmrtgのグラフを見ると

030930a.gif

02時半ごろからいきなりトラフィックが立ち上がり、以後継続してるグラフになってます。

ということで、今度はhttpデーモンのアクセスログをチェックします。apacheのログファイルがローカルからさくっと触れる所にある場合はApacheLogViewerで見るとラクチン。

030930b.gif

どうやら、同一ホストの「RMA/1.0 (compatible; RealMedia)」というエージェントが、1.9MBもあるMP3ファイルを7時間以上も、だいたい2分毎に繰り返し繰り返しリロードしてる結果みたい。

このエージェントは音楽プレーヤーらしい→たぶん「とっても気に入ってエンドレスで再生してる」と考えるのが妥当なんでしょうけど、キャッシュはしないんですかねぇ?

わざわざキャッシュを使わずにその度にリロードしてくれてるんで、結果的にF5(リロード)アタックというDoS攻撃に近くなってます。

まぁ、サーバ側はそれなりにキャッシュして軽く流してる→データ流量に課金されるレンタルサーバとかだったらかなり迷惑なんですが、そうでないなら単一ホストからでは大した負荷でもない→「うっとおしい」以上の実害はないみたい。

でもまぁ、非常にうっとおしいことはうっとおしいんで、10時過ぎごろさくっと(httpデーモンではなく)ファイヤーウォールにルールを設定し、このホストからのアクセスは無条件に全部弾かせてもらうようにしました(^_^)

たぶん悪意はないんだろうと思うんすけど、悪意が無くてもこういうアクセスの仕方は帯域を占領して結構迷惑だったりする(なによりも「うっとおしい」:^^;)んで、申し訳ないけど以後ぜんぶ弾かせてもらいます。

「他人のサーバに置いてる巨大MP3ファイルを、自サイトのBGMとして勝手にEMBEDタグで直リンしてくれるヒト」もホンマ後を絶たなかったりするんですが、これも結果的に「F5同然/帯域占有」→かな〜り迷惑なんで、(絶対止めろとまでは言わんけど)ちょっとは遠慮して欲しいっす。正直なトコロ(^^;;

ダイヤルアップ環境とかパケット課金の携帯電話経由等でこんなサイトにアクセスしたら、ホンマ大変なことになりますな→すげぇ地雷だ。迂闊にアクセスすると、それだけで無条件にメガバイト単位のデータをダウンロードさせられちゃうってことなんで。