[03/09/04 10:25] ワームからのリクエストにレスポンスを返さないようにできないか？

AN HTTPD ゲストブック/コメント集(2003年9月4日10:25)

かずかず 2003/09/08 11:03

中田さん

おかげさまで、icmpを切ったところ、随分と頻度が下がりました。

＞またサーバ側からTCP接続の切断をしない完全無視だと状況は悪くなると思います。
＞相手が応答待ちになりますから。

相手（ワーム）の側から見て、sendが成功してもrecvがtimeouエラーになる状況を期待。
timeoutする待ち時間分頻度が下がるとか、エラー発生で後続の処理にいかないとか。
エラーの理由をちゃんとチェックしてたら無視してるだけとばれるでしょうが、そうでなければそのサーバとは通信継続不能と判断してくれないかしら？というわけです。

ログに記録しないオプション ⇒ うちは元々 / にファイル無くても良いので、/ のファイルを消して、エラーログ禁止で対応できますね。うむ、そうしよう。(^^;)

中田昭雄 nakata@st.rim.or.jp 2003/09/05 20:50

かずさん、
無視してもしなくてもリクエストは受けつけているのでトラフィックはほとんど変わらないと思います。
またサーバ側からTCP接続の切断をしない完全無視だと状況は悪くなると思います。相手が応答待ちになりますから。

「無視するオプション」と言っても、リクエストだけからは無視するべきかどうかを判断できないケースなのですから、今のところ HTTPサーバとしてそのようなオプションをつけるつもりはありません。
せいぜいログに記録しないオプションという程度だと思いますが、正常な / へのアクセスも記録しないことになってしまいます。

かずかず 2003/09/04 23:56

としきさん
＞合計1000件以上になりました。

うちもそれ位のペースです。
名前解決出来ないホストからのアクセスばかりなのがさらに困りもので‥

中田さん
＞Welchia/Nachi/MSBLAST.D の類の場合は、ping(ICMP)の応答を見るようですから、
＞ping に応答しないように設定するのが正解ではないかと思います。

情報ありがとうございます。
ログ発生時期からBLASTER絡みかといぶかしんではいたのですが、やはりその類ですか。(^^;
外部からのICMPを禁止して様子を見てみようと思います。

でもやっぱり無視するオプションは、将来的には欲しいですね。

中田昭雄 nakata@st.rim.or.jp 2003/09/04 21:17

かずさん、
そうですねえ、HTTPサーバを無応答にしても応答しても変わらないような気もします。
Welchia/Nachi/MSBLAST.D の類の場合は、ping(ICMP)の応答を見るようですから、ping に応答しないように設定するのが正解ではないかと思います。

としき peb03250@nifty.ne.jp 2003/09/04 13:01

>かずさん

うちのところにも先月、ルートへの大量のアクセスがありました。
通常、1日2件しかアクセスがなかったのに、8月18日～8月20日の間で
合計1000件以上になりました。
ところが、それ以降、再び以前と同じ水準に戻っています。
あれはいったいなんだったんでしょう。

かずかず 2003/09/04 10:25

いつも便利に使わせて頂いております。
ちょっとした要望がありますので、ここに投稿させていただきます。

最近、以下のようなログが増えております。

○.90.240.3 - - [03/Sep/2003:02:17:26 +0900] "GET / HTTP/1.0" 200 122
○.185.232.33 - - [03/Sep/2003:02:22:23 +0900] "GET / HTTP/1.1" 200 122
○.39.109.115 - - [03/Sep/2003:02:22:24 +0900] "GET / HTTP/1.1" 200 122
○.112.109.28 - - [03/Sep/2003:02:26:50 +0900] "GET / HTTP/1.1" 200 122
○.70.170.168 - - [03/Sep/2003:02:36:22 +0900] "GET / HTTP/1.1" 200 122

TRACEしてみたところ、以下のようなアクセスでした。

GET / HTTP/1.1
Host: ○.210.25.61
Connection: keep-alive
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
X-Forwarded-For: ○.96.182.7

あるいは‥

GET / HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
Via: 1.1 192.168.2.8:3128 (iPrism/v3)
X-Forwarded-For: 192.168.2.111
Host: 61.210.25.61
Cache-Control: max-age=259200
Connection: keep-alive

※アクセス元はProxyのようなのですが、一応伏字にします。

当初は、更新状況を監視する類のソフトかと思ったのですが、そもそも家のサーバのルートには、空ファイルしか置いていません。アクセス元のAgentは、IE5.5を詐称したワームかなにかが足がかりを探しているのではと推測しています。

こういったログが、それこそ数分毎でほぼ一日中来ています。
細い回線の自宅サーバでは負荷も馬鹿になりませんし、そもそもログが増えて困っています。
ルータで切ろうにも、多数のProxyをころころと使いまわして来るので対応しきれないのです。

～～～

で、要望なのですが。

存在しないファイルやアクセス制限でエラーになった場合、無応答(無視)することは出来ないでしょうか。
応答が無ければ、ワームも諦めてくれるのではなかろうかと、根拠は薄いのですが考えております。
＃ニムダとかCodeRedとかのうっとおしさも半減しそうだし。

お時間ございましたら、検討してみてください。
よろしくお願いします。