カテゴリー: サーバ

サーバとかネットワークに関するいろいろなこと

オープン リゾルバ事件

大和 環1 Comment

勤め先の会社は三つの開発室があるんだけど、それらのネットワークを管理している。で、そのうちの一つの開発室で利用しているプロバイダから、どうも大量の不正パケットが流れた形跡があると連絡をよこしてきた。
ログをみたら、一目超然、DNS amp 攻撃だった。

ぎゃーす! そういえば、DNS の設定ってどうなってたんだっけ?<ヲイ
って色々調べたら、amatsukami.jp サーバもオープン リゾルバになっていた……orz

皆さんがウェブサイトを閲覧するとき、そのサイトを運営しているサーバに正しくアクセスするためには DNS という仕組みが不可欠である。インターネット上のサーバはすべて一意の重複することのない番号(IP アドレス)が割り振られていて、この IP アドレスはグローバル IP アドレスと言って、インターネット内で重複しないように割り振られている。例えば今あなたが見ている TAMA Networks を提供しているサーバのグローバル IP アドレスは 210.136.205.247 であり、これは世界に一つしかない IP アドレスである。この番号を他の誰かが使うことはない。
でもこの 210.136.205.247 という数字を使ってデータをやりとるするのは非常に非効率だ。この数字は将来的に変わるかもしれないし、この IP アドレスで提供されるサービスは一つに限ったことではない(FTP、メールなど)。
そこで、この数字と抽象的な名前(○○.co.jp とかのことで、これをドメイン名という)を関連づけることによって、柔軟なアクセスを提供するのが DNS という仕組みだ。たとえば、TAMA Networks のブックマークをブラウザで呼び出すと、ブラウザは amatsukami.jp にアクセスしようとする。ブラウザはまず DNS を提供しているサーバに「amatsukami.jp は何番でっしゃろ?」と問い合わせに行くのだ。すると、DNS サーバが「210.136.205.247 でんがな」と答えてくるので、ブラウザはその DNS から答えられた番号の振られているコンピュータ(サーバ)にアクセスしに行くのである。
これはなにも amatsukami.jp に限ったことではなく、世の様々なサーバ(sony.co.jp とか honda.co.jp とか)すべてがこの方法でアクセスしたいサーバを求めており、これを名前解決と言い、このような DNS サーバを「フルサービス・リゾルバ」という。

ではどのフルサービス リゾルバ DNS にアクセスしに行くのかというと、それは各プロバイダが提供している。他にも Google なんかが自由に使える DNS サーバを用意してくれたりしているし、自分で設定することも出来る。
また会社では会社で建てたフルサービス リゾルバ DNS サーバがその役を担い、ウチの会社もそうなっている。

さて、では DNS サーバというのは全世界中の IP アドレスと名前の情報を持っているのかというと、そう言うワケではない。DNS サーバは例えば「amatsukami.jp は何番よ?」と問い合わされたら過去に同じ問い合わせがないかをまず調べる(キャッシュ)。なければ、.jp を管理している DNS サーバに問い合わせに行く。すると .jp を管理している DNS サーバは「amatsukami.jp なら 210.136.205.247 っていうサーバが詳しいことを知ってるぜ」と返してくるので、210.136.205.247 に問い合わせに行くと、210.136.205.247  の DNS サーバ(つまりボクのサーバ)が amatsukami.jp に関する様々な名前と数字の対応を返すのである。このようにフルサービス リゾルバは、次々とより上の DNS サーバに問い合わせていくようになっていて、これを再帰呼び出しと言う。
amatsukami.jp に関する様々な名前というのは、例えば ftp.amatsukami.jp や www.amatsukami.jp など、amatsukami.jp がつく様々な名前である。ここで初めて、amatsukami.jp も 210.136.205.247 だとって返ってくるので、これを問い合わせしに来た機械に渡すのである。
この時、この「問い合わせをしに来た機械を詐称」することができる。
つまり本来は、A というコンピュータが「amatsukami.jp は何番よ?」って聞いてきたら、その結果を A に返すはずなのだが、ここを B というコンピュータに返せとすることが出来てしまうのである。
こうすることによって DNS サーバは B に答えを送ってしまうどころか、本来定義されていない情報を問い合わせる(この問い合わせ内容が、普通の DNS 問い合わせより遙かに情報量が多いように細工されている)ことによって、DNS サーバはコンピュータ B の回線をパンクさせてしまうのだ(実際には何万台という乗っ取られたパソコンをつかって、DNS サーバにこのような攻撃を行う)。
そのためフルサービス リゾルバは、インターネットの誰からでも受けてはいけないように設定しなければならない。そもそもこの名前解決の問い合わせは各プロバイダが提供しているのであって、わざわざ他人のサーバに問い合わせる必要などない。従ってウチも社内でのみ、このサービスは提供すべきなのである。

ではなぜそれがインターネット全体にも提供していたのか?
それは上の説明にも出てきた「amatsukami.jp なら 210.136.205.247 っていうサーバが詳しいことを知ってるぜ」という部分である。ボクのサーバは全インターネットに向けて、amatsukami.jp に関してのみ責任を持って名前解決をしなければならない(こういう DNS サーバをコンテンツ サーバという)。
amatsukami.jp のついたものに関しては、ボクのサーバだけが真実を知っているのである(実際には真実を知っているサーバを定義することが出来るが)。
そして Microsoft の DNS サーバは、フルサービス リゾルバとコンテンツ サーバを分離出来ない。もし分離したかったら、フルサービス リゾルバ用の DNS と、コンテンツ サーバ用の DNS をそれぞれ別に立てないといけないんですな(ちなみに UNIX の世界で使われている BIND という DNS のプログラムは、この二つの機能を分離出来る)。

まぁ、Windows でも BIND 使うべきなのかもしれないけどね……。

で、とりあえず会社の方はコンテンツ サーバとしての役割を他の外向けサーバに移し、ルータ側で DNS の外部ポートを閉じた。
一方の amatsukami.jp は LAN 内の Active Directory を提供しているマシンにフルサービス リゾルバを設定し、SMTP(メール)のゲートウェイをしているサーバに新たに DNS をインストールし、そちらでコンテンツ サーバとして設定した。これで amatsukami.jp サーバがオープン リゾルバではなくなった。

あー、説明が長かった……orz
ちゃんと正しく説明できているかなぁ……。

▼関連記事

たまきんは、正月に何をしていたか? YouTube に BAN されたwww 同人誌の状況とか spam とかパケット使用量とか AWS の固定 IP とか Instagram とか日乃屋カレーとか

MP4 で Firefox がこける

大和 環Leave a comment

Firefox ユーザからウチの日記を表示しようとすると Firefox がフリーズするという報告を前々からいただいていた。ボクは IE しか使っていないので、他のブラウザで見たことはなかったのだが、Firefox を使っている人たちに見てもらうと、確かに飛ぶことがあるらしい。
はてさて、何が原因か?
ぱっと見たところ、ビデオだろうな、と何故かすぐ思い、ビデオを外すと案の定、Firefox でもフリーズしなくなった。

が、ビデオを埋め込むとなぜ Firefox だけ飛ぶのかは解らなかった。フリーズするビデオとそうでないビデオがあるからだ。
TAMA Networks の他の何かと干渉しているんだろうかと思い、そのフリーズするビデオを、単純に video タグだけ使った、CSS も使わないシンプルな HTML を作って、Firefox でアクセスしてもらったが、やはりフリーズ。
これはもうこのビデオのデータそのものが何かおかしいのだろうと結論。
ちなみに TAMA Networks で貼ってあるビデオはどれも Microsoft のムービーメーカーというもので作ってある。このムービーメーカーがヘッダに何か Firefox がフリーズするような情報でも埋め込んでいるのだろうか?

でも IE のみならず、Google ChromeOpera でも大丈夫らしい。
んん~~~~??

そして今回はここで諦めてしまった。
現在(2015 年 4 月段階)でつかんでいるのは、4GiB 以上の動画を貼り付けると Firefox が飛ぶというのが解っている(その時のツイート)。
ところで今日は 0 度で、車のフロントガラスに霜が降りていた

写真は会社帰りに寄った、中村橋の祥龍房の海老のマヨネーズ和え。
出てきたとき、色が変だなぁと思いつつ食べたら、ひどかった。
海老は衣がついてたんだけど、その衣が電子レンジをやり過ぎたような硬さ。そしてマヨネーズの臭いがひどすぎる。まさしくうんこの臭い。腐ってるのか?
とにかく、とてもじゃないが食えず、ほとんど残した。

1412230866 1412230868

▼関連記事

トリチウムは流せないけど 2GB の動画は流せるの むさしの森珈琲と Gutenberg はやっぱりクソな話 南国亭の固焼きそば ようやくサイトを SSL 化する

UQ WiMAX 雑感

大和 環Leave a comment

bs_yuta01i
今頃ではあるが一昨日の引っ越し騒ぎUQ WiMAX を契約したので、その感じたことなど。
まず今回はモバイル・ルータとして使うのではなく、完全に会社のネット回線として使用している(笑)。こんな使い方が許されるのかどうかは解らないが、WiMAX 以下の LAN には 10 台以上のマシンがぶら下がっていることになる。

まず UQ WiMAX には 2014 年 9 月現在で 3 つのモードがある。

  • ノーリミットモード(WiMAX)
    下り 40Mbps / 上り 15.4Mbps で、どんなに使っても帯域制限をされないモード。
  • ハイスピードモード(WiMAX 2+)
    下り 100Mbps / 上り 10Mbps で、最初の1年間はどんなに使っても帯域制限されないモード。
  • ハイスピード プラスエリアモード(WiMAX 2+ & AU LTE)
    ハイスピードモードを基本に、WiMAX のカバーされないエリアに関しては、AU の LTE を利用するモードで、AU の帯域制限がある。

端末は HUAWEIHWD15 という機種で、コイツはクレイドルを使うと有線 LAN ルータとして動くため、社内の端末をインターネットにつなげることができる。気になる速度だが社員 10 人程度がネットサーフィンをする分にはそんなに問題はないようだ。
社内にはサーバもあるため、通信モードはノーリミットモードを利用していたが、やはり上り速度は遅く、サーバ用としてはほとんど使い物にならなかった。常時、1Mbps くらいが限界。なのでウェブサービス(グループウェアとか BTS とか)は使えるが、FTP などは話にならない。
また、ルータとしての機能がショボいため、Virtual HostHTTPS はまったく使えず、ウェブサービスもかなり制限を受けてしまった。もっとちゃんとしたルータだったら、サーバ運用も可能ではないかと思う。
それよりも何よりもサーバ運用で困るのが IP アドレスが 24 時間に一回勝手に変わることである。これさえなければなぁ……。

引っ越しするまでの 2 週間とちょっとだが、緊急の回線としては充分だが、サーバなどを置いているとどうしようもないという感じである。もっとも UQ WiMAX もこんな運用のされ方は想定してはいないはずで、そう考えれば充分機能してくれたと言って差し支えないと思う。

▼関連記事

Aipo と PC & モバイル環境 血迷って冷やし中華を注文する iOS はクソだなぁ…… 厳しい iOS と疲れる電車通勤、そして 9 月の燃費

引っ越し

大和 環Leave a comment

bs_zuho01m
今日は親会社の引っ越しがあった。
ウチの会社は 2F に親会社の支部が、そして 4F にエロゲ部隊が入っている。このうち、2F がより広いところに引っ越すことになった。つまりビル的にはエロゲ部隊だけが残ることになる。
引っ越し先のネット回線は新規契約という方向で進んでいたとボクは認識していた。現に、どのコースを引くかとかその辺の打ち合わせが事前になされていたからだ。

ところが、回線も引っ越しということが当日に判明する。

2F も 4F も同じ回線を利用していたので、回線が引っ越してしまうと 4F は一切ネットに出られないことになる。しかも困ったことに、このビルの基幹サーバは 4F のエロゲ部隊が担っているのだ(ボクが本社とエロゲ部隊のネットワーク管理者なため)。

というわけで、まずは本社側の引っ越しをおこなう。
ルータなども引っ越し、本社側のネットはすぐに使えるようになった。

問題はエロゲ部隊の方である。今から光回線を引こうにも、実際に引かれるのは早くても一週間後だ。
で、どうしたかというと、UQ WiMAX をヨドバシカメラで契約。コイツを Gateway にした。
しかし固定 IP が使えない。そこで WiMAX をつなぎっぱなしにし、amatsukami.jp で glace.me などの DNS を運営。
これで事なきを得たか……!?
と思ったのも束の間、WiMAX って、つなぎっぱなしにしてても 24 時間で IP アドレスが自動的に変わることが判明。結局、IP が変わったら DNS を登録し直すというなんともはやな運営となった。
10 月にはエロゲ部隊も引っ越すので約 2 週間はこの運用でやるしかないようだ。

とにかくデリケートなのが Active Directory である。DC(Domain Controller)はこのエロゲ部隊と本社にそれぞれ一台ずつある。エロゲ部隊のサーバはエロゲ開発に使われているので、引っ越し先に持っていくわけにはいかない。
そこでエロゲ部隊のサーバから本社サーバに VPN を張り、Active Directory のやりとりをするようにした。ただエロゲ部隊側が動的 IP なので VPN は必ずエロゲ部隊側から本社に向かって張り、この時 LAN 内の固定 IP になるようにし、その IP に対して DC を設定した。

いやー、ホント大変だったー。

 

▼関連記事

Chrome で証明書エラーが出るようになった 気温とか 4K とかカレーのシミとかミルクとか 復帰後最初のまぜはる caitsith.org を開放しようとして失敗する

停電

大和 環2 Comments

会社にいたら、突然自宅サーバと通信できなくなった。同時に親から停電したとの電話が。マジか……。

停電はその後 1 時間以内に復旧。サーバは電源が復帰すると自動的に電源が入るように設定されているので、そのまま起動した。

家に戻って調べて見ると、この停電でプリンタと複合機が死亡した。
えー!? 停電でそんなことってあるの!?
と、当時に家にいた人間に聞いてみると、雷が凄かったらしい。で、近くの落雷とともに停電となったとのこと。なるほど、過電流か?

興味深いのが、4/12 に電源タップを総入れ替えしたんだけど、その時に雷対応とそうじゃないのがあった。もっと正確に書くと、タップ総入れ替えとは書いたものの、一つだけあまり年数の経っていないキレイなタップを使っていたのだ。そいつは雷対応じゃなかったのよね。
そしてプリンタと複合機は、そのタップにつながっていたのだ。

ほほう、雷対応は意味があるのだな……。

ちなみにサーバと音響機器はタップを介さずにコンセントから直接とっている。が、音響機器の場合整流器(?)的なものが挟まっていて、そいつが防いだのだと推測。サーバは……たまたま電源が丈夫だったのかなぁ?

だが解せないことは他にもある。
雷対応じゃないタップに刺さっているのは、なにもこの部屋だけではない。各部屋の電灯、別の部屋の AV 機器はどれも無事であった。うう~ん、たまたまそのコンセントにだけ過電流が流れたってことなんだろうか?

まぁなんにせよ被害は甚大で、プリンタと複合機は修理だけで直るのかどうか心配である……。

▼関連記事

かわよし 満北亭 また気温の話かよ? 気温とか 4K とかカレーのシミとかミルクとか

HDD 組み替え

大和 環Leave a comment

会社のサーバのプロジェクト用の HDD の空き容量がかなりヤバくなってきた。とはいえ、3 週間後にはマスターアップも控えている。このような状態でサーバをいじるのはよろしくない。しかし、マスターアップまで持つかどうかもちょっと怪しい感じだ。そこで、既に終わったプロジェクトのデータを他のドライブに待避させて、HDD の空き容量を空けることにした。
とはいえ、サーバにはすでに 7 台もの HDD がつながっており、それぞれが様々な用途に利用されている。

各部署に 4TB x 2 の RAID(ミラーリング)が組まれているのだが、このうちの一つを解体し、4TB をもう一台買ってきて、4TB x 3 の RAID-5 で運用することにした。

  • 当初の構成
    • 500GB x 1(System)
    • 4TB x 1(FTP 用)
    • 4TB x 2(ミラーリング:SVN、DB、部署 1 & GLacé & Galette が使用)
    • 4TB x 2(ミラーリング:部署 2 が使用)
    • 1.5TB x 1(共有用)
  • 新しい構成
    • 500GB x 1(System)
    • 4TB x 1(FTP 用)
    • 4TB x 2(ミラーリング:DB、部署 1 &部署 2 が使用)
    • 4TB x 3(RAID-5:SVN、GLacé & Galette が使用)
    • 1.5TB x 1(共有用)

GLacé  / Galette だけで 4TB を使いつぶす勢いだったので、GLacé / Galette を独立させた。エロゲってけっこう容量食うんだなぁ……。スマフォ、コンシューマは画面が狭いことも有り、GLacé / Galette の 1/4 も使ってなかった。
驚いたのが、ソフトウェア RAID-5 のファイル転送速度。150 ~ 160MB/sec 出た。しかも再構成中だったのに。凄いなぁ。
金曜の夜中、全社員が帰ってから作業を始めて、土日かかるだろうなと思ったんだけど、土曜日の午前中で終わってしまった。せっかくなので、現在進行中のプロジェクトも移行した。これでまた当分は大丈夫そうだ。1 年は保ってくれればいいんだが……(^^;
filecopy

▼関連記事

堪能、堪能♥秋葉原と引っ越し やばい! たまきんは、正月に何をしていたか? オープン リゾルバ事件

増設成功

大和 環Leave a comment

拡張 SATA カードを増設して、5TB x 2 は認識した。コイツをフォーマットしたら、4TB x 2 の中身をコピー。6TB 近く使ってたからコピーにすげー時間かかるんだろうなぁと思ったら、そうでもなく、1 日もかからずに終わってしまった。コピー中のダイアログを見た感じでは、秒間 130MB/sec くらい出てたから、14 時間くらいで終わったと思われる。
というわけで、4TB x 2 を取り外し、4TB x 2 がついていたところに 5TB x 2 を取り付けて、アクセス権を設定し直して、終了。コピーしていた時間がほとんどとは言え、なんだかんだでこう言うのって一日がかりなんだよなぁ……。そんなわけで、セキュリティ上晒していいのかよくわからんが、amaterasu サーバの HDD の様子を貼り付け。
computer dirve
それにしても 10TB となると、1024 換算だと 9TB と 1TB も差が出るのね……。何の話かというと、二進法を利用するコンピュータでは 1K は 1024 であることが多い(正式には 1Ki と表記する)。5TB の HDD というのは 1K = 1000 で計算している数字だから 1K=1024 で計算してしまうと、9.09TiB になってしまうのだ。なんともはや悲しい限りである。

下の写真は左が秋葉でみつけた風景。エロゲの登校の背景に使えそうと、思わずパチリ。右は新目白通りの高田馬場付近。なんで撮ったのかというと、遠くに見える雲がもう夏の雲に見えたので……おいおいまだ4月末だよ!? とか思いつつ……詳しい位置情報は写真にジオタグついてます。
1404240956 1404250957

▼関連記事

5TB を認識しなかったでござる 目が覚めたらブルースクリーンだったでござる 3 月の燃費とサーバの HDD を換装した話 訳あり HDD を買ってみる