@niftyのOutbound Port25 Blocking対策を見て,
たしか DION も 11 月から対策が始まると思ったので確認してみた.
DION の Outbound Port25 Blocking は携帯あてのメールが対象で,
すでに携帯あてのメールは transport するようにしてあるので影響なし.
中継用メールサーバ(relay-mta.dion.ne.jp)が用意されているので,
これを利用するように変更した方がいいかも.
@niftyのOutbound Port25 Blocking対策を見て,
たしか DION も 11 月から対策が始まると思ったので確認してみた.
DION の Outbound Port25 Blocking は携帯あてのメールが対象で,
すでに携帯あてのメールは transport するようにしてあるので影響なし.
中継用メールサーバ(relay-mta.dion.ne.jp)が用意されているので,
これを利用するように変更した方がいいかも.
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
iptables を使ったフィルタリング
http://fuga.jp/~densuke/diary/?date=20051020#p07
swatch を使った対策.
http://mousehole.rubyforge.org/wiki/wiki.pl?MouseHole
Ruby で書かれた proxy.
privoxy のように書き換えも可.
- Using MouseHole on LightTPD or Apache2
http://redhanded.hobix.com/inspect/usingMouseholeOverLighttpdOrApache2.html
http://www.asahi-net.or.jp/~cs8k-cyu/gp/
プロキシサーバとして動作する、 Webサーフグラフィカル表示ツール.
Windows 用.
Galactica Proxy から他の Proxy を経由するには,sforward.ini に
* 192.168.1.1:3128 . .
http://slashdot.jp/article.pl?sid=05/09/17/1048215
「.cat」は カタロニア言語と文化にアイデンティティを持つ人たちのための
ドメインになる。
http://www.itmedia.co.jp/news/articles/0508/25/news044.html
アッカ、下り最大 50.5Mbps、上り最大 12.2Mbps の ADSL サービスを開始
http://internet.watch.impress.co.jp/cda/news/2005/08/25/8900.html
- hashcash - DOS ベースのアンチスパム技術
http://quasiquote.org/log/2005/03/04/hashcash
- Passion For The Future: P2P匿名プロクシサーバのTor
http://www.ringolab.com/note/daiya/archives/003012.html
Tor の紹介記事.
- nDiki: Tor で hidden service
http://www.naney.org/diki/d/2005-02-13-Tor.html
Privoxy との連携.
http://slashdot.jp/articles/05/01/21/0214236.shtml?topic=12
2ch の
時刻合わせ総合スレッド
に福岡大学のNTP屋の書き込みがあり,
ntp へのアクセスが 900/s もあって困っているという話.
福岡大学のNTP屋の書き込みを抜き出すと
500 :福岡大学のNTP屋 :05/01/20 13:50:01 ID:u9Qqv67y 早いもので1993年10月に時刻サーバーを公開してから10年を越えてしまいました。 開発時のGPS受信機は190万円も出してアメリカ製を購入しました。 SunOS 4.1.3でドライバーを開発していたり、 古野電気にGPSの受信機を開発してもらったりしたのが夢のようです。 今はFreeBSDでのんびりとサービスを続けています。 ところで、皆さんへお願いですが、出来るだけ負荷を分散したいのです。 今や、clock.nc.fukuoka-u.ac.jpへのアクセスは毎秒900件ほどになります。 引き合いに出して申し訳ないのだけれども、東大のntp.nc.u-tokyo.ac.jpでも 毎秒3,4件程度のトラフィックです。 サーバーとの時刻差を求めるのに (往路の伝送時間−復路の伝送時間)/2を観測誤差として補正している原理からして、 遠方になるほど観測誤差が大きくなる傾向にあります。 候補となるNTPサーバのそれぞれについてtracerouteなどで遅延時間を求めます。 遅延時間が安定していて、時間が短いのが望ましいサーバです。 ついでに、tracerouteの途中にあるルータを ntpq -p などでチェックしてみます。 Ciscoのルータなどはntpをサポートしているので、案外多くのサーバを発見できます。 念のため ntpqや,ntpdate -q などでまともなサーバかどうかも確認しておきます。 YahooBBなどのISPのユーザは出来るだけISP内で提供しているNTPサーバを参照するようにお願いします。 何だか泣き言をいっているようで恥ずかしいのですが、ご協力をお願いします。 鶴岡知昭@福岡大学、電子情報工学科 504 :福岡大学のNTP屋 :05/01/20 14:37:51 ID:u9Qqv67y まとまりがなくて申し訳ない。 毎秒900件を相手にすると、およそ2Mbpsの帯域を食いつぶしています。 大学の回線は2万人で使っているのです。なので、 例えばWindows系は出来るだけISP内のサーバを参照して欲しいのです。 それが無理なら、近隣のサーバを参照して欲しいとのお願いでした。 512 :福岡大学のNTP屋 :05/01/20 14:58:43 ID:u9Qqv67y 今のところDoS攻撃にはさらされていませんが、学内回線が切れたときなどは Network Unreachable や Host Unreachableを山のように返して大変なことになりました。 ユーザ側では無意識に使っているので、再送ばかり繰り返して、トラフィックが倍増してしまいます。 計算機的には耐えられるのですが、ネットワーク的には好ましくない状況にいたっています。 517 :福岡大学のNTP屋 :05/01/20 15:33:02 ID:u9Qqv67y 確かにWin95もなかったころ始めた研究だったので、stratum-2サーバを立ち上げる人たちを支援するサービスでもありました。 反省としては、WinXPやADSLが普及する前、桜時計の登場と合わせて対策を講じるべきでした。 とはいえ、ISPがISP内のタイムサーバを提供してくれれば、さほどの悩みでもないのですが。 522 :福岡大学のNTP屋 :05/01/20 16:30:33 ID:u9Qqv67y >>520 大学の回線を2Mbps近く食ってしまうのももったいないことですし、 ユーザにとっても精度を確保し難いわけですから、ISP内のタームサーバを 利用する方向に仕向けたいのです。 http://sonic64.hp.infoseek.co.jp/2004-12-02.html のあたりは、それをよく説明してくれています。 学内でも居場所はそれほど自由でもないんですね。 10年前ならネットワーク構成も変更しやすかったのですが、今はどうにもなりません。 538 :福岡大学のNTP屋 :05/01/21 01:40:50 ID:c4Y8T4sy >>536 それは激減します。 Mills達が階層化(stratum)を考えた時、まさにこのことを意図していたものと思います。 仮に stratum-1が想定どおりにstratum-2のみを従えるとしたら、10000あってもトラフィックは高々数10パケット・秒程度に落ちてしまいます。 老舗かつ有名どころの time.nist.gov でも 500/秒に達していますし、よくまあこの程度に収まったものだと思います。 当方へのアクセスが900/秒にもなるのは、日本のISPが自家用の時刻サーバを確保してこなかったからに他なりません。 旧帝国大学や大手プロバイダはギガビットで引き込んでいる時代になりましたので、NTPパケットごときが問題になることはないのでしょうが、せいぜい20Mbpsの田舎大学では stratum を活用するのは大変ありがたいことなのです。
539 :福岡大学のNTP屋 :05/01/21 01:57:50 ID:c4Y8T4sy >>537 ipfw を使って、PC系をちょっと絞ってみましたが、一気に10分の1程度に減ります。 続けたものかどうかは悩みますが、様子をみましょう。
ということで,ISP の ntp を推奨.
ISP の ntp は
568 :どうよ :05/01/21 15:46:36 ID:5sM0zYYd ネットワーク: プロバイダ別 ntp サーバリスト Ver.1 参考:http://sonic64.hp.infoseek.co.jp/2004-12-02.html 他 Experimental NTP Servers (Public Stratum 2) ntp1.jst.mfeed.ad.jp (210.173.160.27) ntp2.jst.mfeed.ad.jp (210.173.160.57) ntp3.jst.mfeed.ad.jp (210.173.160.87) - Yahoo BB tp.bbtec.net - OCN ntp-tk01.ocn.ad.jp (東日本用) ntp-tk02.ocn.ad.jp (東日本用) ntp-os01.ocn.ad.jp (西日本用) - ぷらら 東日本エリアの方 西日本エリアの方 プライマリ ntp1.plala.or.jp ntp2.plala.or.jp セカンダリ ntp2.plala.or.jp ntp1.plala.or.jp - so-net ntp.so-net.ne.jp ux02.so-net.ne.jp - ODN ntp1.odn.ne.jp - asahi-net ntp.asahi-net.or.jp - DION ntp02.dion.ne.jp ntp03.dion.ne.jp
mfeed は申請が必要らしい.