~fumi/ChangeLog

@niftyのOutbound Port25 Blocking対策を見て，
たしか DION も 11 月から対策が始まると思ったので確認してみた．

DION の Outbound Port25 Blocking は携帯あてのメールが対象で，
すでに携帯あてのメールは transport するようにしてあるので影響なし．

中継用メールサーバ（relay-mta.dion.ne.jp）が用意されているので，
これを利用するように変更した方がいいかも．

http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp

iptables を使ったフィルタリング

http://fuga.jp/~densuke/diary/?date=20051020#p07

swatch を使った対策．

http://mousehole.rubyforge.org/wiki/wiki.pl?MouseHole

Ruby で書かれた proxy．
privoxy のように書き換えも可．

- Using MouseHole on LightTPD or Apache2
  http://redhanded.hobix.com/inspect/usingMouseholeOverLighttpdOrApache2.html

http://chronoflyer.ddo.jp/doc/robot.shtml

http://x68000.q-e-d.net/~68user/net/

http://www.asahi-net.or.jp/~cs8k-cyu/gp/

プロキシサーバとして動作する、 Webサーフグラフィカル表示ツール．
Windows 用．

Galactica Proxy から他の Proxy を経由するには，sforward.ini に

*	192.168.1.1:3128	.	.

http://slashdot.jp/article.pl?sid=05/09/17/1048215

「.cat」は カタロニア言語と文化にアイデンティティを持つ人たちのための
ドメインになる。

http://headlines.yahoo.co.jp/hl?a=20050701-00000004-wir-sci

http://www.itmedia.co.jp/news/articles/0508/25/news044.html

アッカ、下り最大 50.5Mbps、上り最大 12.2Mbps の ADSL サービスを開始
http://internet.watch.impress.co.jp/cda/news/2005/08/25/8900.html

http://www.stackasterisk.jp/tech/systemManagement/snmp05_01.jsp

http://cacti.loaded.jp/

http://lovemorgue.org/xss.html

http://www.cgisecurity.com/articles/xss-faq.shtml の翻訳

デスクトップからサーバの bskk へ接続．

  ssh -C -N -f -L 51178:localhost:51178 user@server

- http://www.cacti.net/index.php

MRTG のようなグラフ化ソフト．

http://www.drk7.jp/MT/archives/000772.html

http://www.hashcash.org/

- hashcash - DOS ベースのアンチスパム技術
  http://quasiquote.org/log/2005/03/04/hashcash

http://tor.eff.org/

- Passion For The Future: P2P匿名プロクシサーバのTor
  http://www.ringolab.com/note/daiya/archives/003012.html
  Tor の紹介記事．
- nDiki: Tor で hidden service
  http://www.naney.org/diki/d/2005-02-13-Tor.html
  Privoxy との連携．

http://slashdot.jp/articles/05/01/21/0214236.shtml?topic=12

2ch の
時刻合わせ総合スレッド
に福岡大学のNTP屋の書き込みがあり，
ntp へのアクセスが 900/s もあって困っているという話．

福岡大学のNTP屋の書き込みを抜き出すと

  500 ：福岡大学のNTP屋 ：05/01/20 13:50:01 ID:u9Qqv67y
      早いもので１９９３年１０月に時刻サーバーを公開してから１０年を越えてしまいました。
      開発時のGPS受信機は１９０万円も出してアメリカ製を購入しました。
      SunOS 4.1.3でドライバーを開発していたり、
      古野電気にGPSの受信機を開発してもらったりしたのが夢のようです。
      今はFreeBSDでのんびりとサービスを続けています。

      ところで、皆さんへお願いですが、出来るだけ負荷を分散したいのです。
      今や、clock.nc.fukuoka-u.ac.jpへのアクセスは毎秒900件ほどになります。
      引き合いに出して申し訳ないのだけれども、東大のntp.nc.u-tokyo.ac.jpでも
      毎秒３，４件程度のトラフィックです。

      サーバーとの時刻差を求めるのに
      （往路の伝送時間−復路の伝送時間)/２を観測誤差として補正している原理からして、
      遠方になるほど観測誤差が大きくなる傾向にあります。

      候補となるNTPサーバのそれぞれについてtracerouteなどで遅延時間を求めます。
      遅延時間が安定していて、時間が短いのが望ましいサーバです。
      ついでに、tracerouteの途中にあるルータを ntpq -p などでチェックしてみます。
      Ciscoのルータなどはntpをサポートしているので、案外多くのサーバを発見できます。
      念のため　ntpqや,ntpdate -q などでまともなサーバかどうかも確認しておきます。

      YahooBBなどのISPのユーザは出来るだけISP内で提供しているNTPサーバを参照するようにお願いします。

      何だか泣き言をいっているようで恥ずかしいのですが、ご協力をお願いします。

      鶴岡知昭＠福岡大学、電子情報工学科


  504 ：福岡大学のNTP屋 ：05/01/20 14:37:51 ID:u9Qqv67y
      まとまりがなくて申し訳ない。
      毎秒９００件を相手にすると、およそ2Mbpsの帯域を食いつぶしています。
      大学の回線は２万人で使っているのです。なので、
      例えばWindows系は出来るだけISP内のサーバを参照して欲しいのです。
      それが無理なら、近隣のサーバを参照して欲しいとのお願いでした。

  512 ：福岡大学のNTP屋 ：05/01/20 14:58:43 ID:u9Qqv67y
      今のところDoS攻撃にはさらされていませんが、学内回線が切れたときなどは
      Network Unreachable　や　Host Unreachableを山のように返して大変なことになりました。
      ユーザ側では無意識に使っているので、再送ばかり繰り返して、トラフィックが倍増してしまいます。
      計算機的には耐えられるのですが、ネットワーク的には好ましくない状況にいたっています。

  517 ：福岡大学のNTP屋 ：05/01/20 15:33:02 ID:u9Qqv67y
      確かにWin95もなかったころ始めた研究だったので、stratum-2サーバを立ち上げる人たちを支援するサービスでもありました。
      反省としては、WinXPやADSLが普及する前、桜時計の登場と合わせて対策を講じるべきでした。
      とはいえ、ISPがISP内のタイムサーバを提供してくれれば、さほどの悩みでもないのですが。

  522 ：福岡大学のNTP屋 ：05/01/20 16:30:33 ID:u9Qqv67y
      >>520
      大学の回線を2Mbps近く食ってしまうのももったいないことですし、
      ユーザにとっても精度を確保し難いわけですから、ISP内のタームサーバを
      利用する方向に仕向けたいのです。
      http://sonic64.hp.infoseek.co.jp/2004-12-02.html
      のあたりは、それをよく説明してくれています。
      学内でも居場所はそれほど自由でもないんですね。
      10年前ならネットワーク構成も変更しやすかったのですが、今はどうにもなりません。

  538 ：福岡大学のNTP屋 ：05/01/21 01:40:50 ID:c4Y8T4sy
      >>536
      それは激減します。
      Mills達が階層化(stratum)を考えた時、まさにこのことを意図していたものと思います。
      仮に　stratum-1が想定どおりにstratum-2のみを従えるとしたら、10000あってもトラフィックは高々数10パケット・秒程度に落ちてしまいます。
      老舗かつ有名どころの time.nist.gov でも 500/秒に達していますし、よくまあこの程度に収まったものだと思います。
      当方へのアクセスが900/秒にもなるのは、日本のISPが自家用の時刻サーバを確保してこなかったからに他なりません。
      旧帝国大学や大手プロバイダはギガビットで引き込んでいる時代になりましたので、NTPパケットごときが問題になることはないのでしょうが、せいぜい20Mbpsの田舎大学では stratum を活用するのは大変ありがたいことなのです。

  539 ：福岡大学のNTP屋 ：05/01/21 01:57:50 ID:c4Y8T4sy
      >>537
      ipfw を使って、PC系をちょっと絞ってみましたが、一気に10分の1程度に減ります。
      続けたものかどうかは悩みますが、様子をみましょう。

ということで，ISP の ntp を推奨．

ISP の ntp は

  568 ：どうよ ：05/01/21 15:46:36 ID:5sM0zYYd
      ネットワーク: プロバイダ別 ntp サーバリスト Ver.1
      参考：http://sonic64.hp.infoseek.co.jp/2004-12-02.html　他

      Experimental NTP Servers (Public Stratum 2)
      ntp1.jst.mfeed.ad.jp (210.173.160.27)
      ntp2.jst.mfeed.ad.jp (210.173.160.57)
      ntp3.jst.mfeed.ad.jp (210.173.160.87)

      - Yahoo BB
      tp.bbtec.net
      - OCN
      ntp-tk01.ocn.ad.jp （東日本用）
      ntp-tk02.ocn.ad.jp （東日本用）
      ntp-os01.ocn.ad.jp （西日本用）
      - ぷらら
      東日本エリアの方 西日本エリアの方
      プライマリ ntp1.plala.or.jp ntp2.plala.or.jp
      セカンダリ ntp2.plala.or.jp ntp1.plala.or.jp
      - so-net
      ntp.so-net.ne.jp
      ux02.so-net.ne.jp
      - ODN
      ntp1.odn.ne.jp
      - asahi-net
      ntp.asahi-net.or.jp
      - DION
      ntp02.dion.ne.jp
      ntp03.dion.ne.jp

mfeed は申請が必要らしい．

http://slashdot.jp/articles/04/11/29/101235.shtml?topic=29