トラフィック - みる会図書館

1. UNIX MAGAZINE 2002年4月号

連載 UNIX Communication N0tes—O 続けることか可能な範囲にアクセス数が収まっているかどうかを検査することのほうが重要である。つまり、 TCP SYN flooding 攻撃を受けたとしても、サーバーが通常とほとんど変わりなくサービスを提供できる程度のアクセス数であれば、それはど有効な攻撃とはいえない。その意味で、モニタリングに多少の漏オゞあったとしても、大きな問題にはならないのである。事実、 TCP SYN flooding 攻撃の有無をチェックする場合には、送られてくる IP データグラムの宛先 IP アドレスか保護すべきサーバーであり・かっ、 TCP?S ケットで SYN フラグか、定されているものをモニタリング側セグメントに分離するようにスイッチの設定をおこなう。モニタリング・サイトでは、その発生数を言則し、たとえは過去 24 時間のアクセス数よりも 5 倍程度までアクセスかイ申びた場合にはなんらかの異常があるとみなし、ファイアウォールに対してフィルタリングを追加設定する。このとき、 TCP SYN を大量に発生させているサイトがあれば、そのサイトからのバケットの j 面をファイアウォールでに山 E し、不正なトラフィックの流入を防げるようになる。トラフィックを不鶤頁ごとに分離して検査する手法には、次のようにさまざまな利点がある。・モニタリング・システムに必喫な処理能力を低く抑えることができるとくに広帯域データリンクにおいては、ネットワークに流れるバケットをダンプする処理は、通常のコンピュータ・システムではデータバスカヾ益れて不可能になってしまう場合が多い。モニタリングの対象となるトラフィックを分離すれば、通常のシステムをモニタリングに使えるので、システム構築のコストを下げることができる。・レイヤ 4 スイッチを使うことで、特定のサーバーるいは特定のサービスに対するアクセスを分離して検査することができるたとえは、従来の MID 型 IDS でトラフィックを検査したあと、 Dos 攻撃対策のためのモニターを適用するといった手法も可能になる。 56 トラフィック・モニター最後の間題は、 DoS 攻撃を本剱日するためのトラフィック・モニターとして何を使うかである。これには、以下に示すようにいくつかのガ去が考えられる。・ネットワークに PC などを接続し、 tcpdump などのバケットダンプ・プログラムを適用してトラフィックをモニタリングするこのガ去を利用する場合は、バケットダンフ。の結果を解析するプログラムが必要である。・レイヤ 2 スイッチを通過させ、 RMON (Remote MONitoring) の機能を用いてトラフィックを監視するモニタリングにおいては、 SNMP NMS から RMON MIB を監視し、発生しているトラフィックの不頁や頻度を監視する。むろん、どちらのガ去もそれなりにコストがかかる。しかしながら、これらのガ去を、前々回まで説明したクラスタ化した高生能サーバーからなるシステムとうまく組み合わせれは、性能管理から DoS 攻撃対策までを一貫して処理するサーバーシステムの構築も可能になる。 ☆ 今回は、 DoS 攻撃への各的な対策について述べた。馳伏では、 DoS 攻撃は 1 つの組織だけで防げるものではない。 ISP なども含め、幾重にも対策を積み重ねていくことで、被害を減らしていくしかない。しかし、、、トラフィックを捨てる " 以外に効果的な対策がないところが、この攻撃手法のたちの悪さであり、抜本的な解決策もなかなか見出せないのが実情である。残念なことに、 DoS 攻撃はひろがりつつあり、インターネットの社会基盤としての重要性カすにつれて、間題も大きくなってきている。 Dos 攻撃に対しては、 - 箚重の対策を複合的に適用していくことか重要である。なかでも、外部にサービスを提供している糸目織や ISP では、十分な対策の検言寸・通用力球められている。 ( やまぐち・すぐる奈良先立醤斗判支術大学院大学 ) UNIX MAGAZINE 2002.4

2. UNIX MAGAZINE 2002年4月号

連載 /UNIX Communication Notes ー 0 ルータ C 図 2 DoS 攻撃によるリンクの食ロポトルネック・リンク攻撃対象図 3 データと鬧胸を分離したネットワーク構成 DoS 攻撃のトラフィックルータ A ルータ A ルータ B ルータ B ルータ C 管理用ネットワーク DoS 攻撃のトラフィック報カ碍られる。ネック・リンクで、 DoS 攻撃のトラフィックによって、する。このとき、ルータ A とルータ B のあいだがポトル攻撃対象のシステムに対して DoS 攻撃が仕掛けられたとンク ) が飽和することがある。たとえは、図 2 で、佑端のする途中のもっとも帯域の狭いリンク ( ポトルネック・リ DoS 攻撃がおこなわれると、攻撃対象のマシンに到達データと制御を分離するえるであろう。は、今後、 lngress フィルタリングを導入する ISP か増偽造したトラフィックによる DoS 攻撃の蔓延ぶりをみれのが実情である。だカまこのところの始点 IP アドレスを lngress フィルタリングを夫施すべきかどうか脳んでいる低下が懸念されるのも事実である。その意味で、 ISP はルータの性能がかなり E してきたとはいっても、性能ののところ ISP 間の相互接続は急速に広帯域化している。法的な間題も少ないと考えられるからである。しかし、契約で申し合わせたトラフィックのみを対象とするため、びてきた。これは、ルータの高性能化、そして ISP 間のトラフィックを破棄する手法は、描丘になって現実味を帯イルタリングを用いて DoS 攻撃に使われる可能性の高い ISP 間でのトラフィック交換地 . 点において、 lngress フタリング " である。を交換するイ督はみが考案された。これが、、 lngress フィルい、正しい始点 IP アドレスをもっ IP データグラムだけよる糸習各管理情報をもとにフィルタリングの設定をおこなムか届くかというルールが作れる。そこで、この BGP にどの ISP からどの始点 IP アドレスをもっ IP データグラタと呼ぶ。さて、 BGP による経路情報をもとに考えると、る場合には、境界ルータのことを lngress ( 入り口 ) ルー流入してくる。そこで、トラフィックの向きをもとに考えこの境界ルータには、はかの ISP からのトラフィックが 52 コンソール接続用のターミナル・サーバーネットワーク管理ステ・一ション UNIX MAGAZINE 2002.4 ソールポートにもネットワーク経由でアクセスできるよう余裕があれは、ターミナル・サーバーを設置し、コン受けすにすむ。しておけば、ルータ自体か攻撃対象になった場合い皮害をしてのポートを見せない設定もしておくべきだろう。こうし、データ転送用ネットワークには、ルータのサーバーといたルータへのアクセスは制御ネットワーク側からのみとように設定しておくことである。さらに、 SSH などを用のルーティングやデータの伝送のための辛各に使われない流れる経路と完全に分離したネットワークを用意し、通常ト・アドレスて構成してもよい。重要なのは、データがが用意されている。管理用のネットワークは、プライベー図 3 はその一例で、通常の糸響各とは別に管理用の糸各のである。にも管理作業かできるようなネットワーク構成にしておく制彳卸トラフィックカ毓れる糸習各を分離し、いざというときトラフィックの流れる糸習各と、ネットワーク管理のためのス路をつねに石呆しておく必要がある。つまり、データ・このような状態になるのを防ぐには、ルータへのアクセることが多い。で不になってしまうため、ルータにアクセスできなくな忙殺されていたり、ポトルネック・リンクがトラフィックない。しかし、 DoS 攻撃中にはルータがバケット処理ににアクセスし、フィルタリングの設定をおこなわねばならの管理下にある場合は、 DoS 攻撃中になんとカソレータ A なることが多い。ルータ A 、ルータ B 、ルータ C が自分らは、ルータ A やその先のシステムにアクセスできなくると、ルータ B よりも右側に接続されているシステムかの部分カ包和してしまう状況が発生したとしよう。こうな

3. UNIX MAGAZINE 2002年4月号

連載 /UNIX Communication Notes 図 4 レイヤ 4 スイッチてトラフィックを分離してモニタリングをレイヤ 3 スイッチレイヤ 4 ファイアウォールスイッチインターネットー - ′ レイヤ 3 スイッチ彡御トラフィックモニターサーバートラフィックモニター図 5 動的なフィルタリング言聢レイヤ 3 スイッチレイヤ 4 ファイアウォールスイッチインターネット。ー - ′ レイヤ 3 スイッチレイヤ 4 スイッチを用いてトラフィックをう隹してモニタヤ 4 スイッチでは、なんらかの条件にもとづいて、全体リングを実施する。そして、各モニターか不審なトラフィのトラフィックを 2 つのセグメントに分けている。これックを本鎹ロしたら、その情報にもとづき、インターネットによって、 1 台のトラフィック・モニターあたりの処理阯により近いレイヤ 3 スイッチまたはファイアウォールにを減らし、通常のコンピュータ・システムでもモニタリンフィルタリングを追加し、そのトラフィックの j 面茴を阻止グを可能にするのである。 Gigabit Ethernet の経路であ川ま、レイヤ 4 スイッチでロードか均一になるようにトラするのである。フィックを分割し、 6 ~ 10 台程度のモニターを用いてモニ DoS 攻撃対策として実施するモニタリングは、 IDS にタリングを実施するのが一ヨ麺勺であろう。このとき、モニよる不正アクセス検知とは異なり、現実には多少粗い検査ターとして MID 型の IDS を利用すれば、広帯域リンクでも大きな問題は生しない。 DoS 攻撃の基本は、なんらに対応したクラスタ型 IDS を構成することかできる。かの方法で大のトラフィックやリクエストをサーバーに送って処理不能に陥サービスの提供を妨害することで DoS 攻撃に文亢するモニタリングある。したがって、あらゆるトラフィックを監ネ寸象に含める必要はなく、多少の漏れがあっても大きな間題にはなさきはど紹介した AID の考え方と、広帯域データリンクのためのモニタリング手法とを組み合わせて DoS 攻撃らない。の発生を本鎹日し、さらに、そのトラフィックを重加勺に阻止たとえば、前号で説明した TCP SYN flooding 攻撃するようなシステムが考えられている。では、どのホストから TCPSYN バケットがきているのかも問題だが、そオ L 以一日こ、サーバーがサービスを提供し図 5 を見てほしい。このシステムでは、図 4 と同様にトラフィックモニターフィルタリングの追加トラフィックモニター 55 UNIX MAGAZINE 2002.4

4. UNIX MAGAZINE 2002年4月号

連載 /UNIX Communication Notes—O 図 1 lngress フィルタリングによる不正トラフィック棄 VLAN などを多用して構成したネットワーク竟では、ューサーの端末か直孑妾続されたルータやレイヤ 3 スイツ IS P-A Ⅸ チでもフィルタリング・ルールの書き方か複雑になる可能性がある。そのような場合には、そこよりもインターネットに近い別のルータやレイヤ 3 スイッチを探し、ルールを書きやすいシステムで適用するようにすればよいだろう。ルータやレイヤ 3 スイッチでのフィルタリングというと、性育旨氏下を懸念して設定を嫌う管理者も多い。しかし、。丘のルータやレイヤ 3 スイッチには、フィルタリングによる性育旨氏下を最小限にとどめるための技術か数多く用いられている。性能の低下を理由にフィルタリングの導入をためらっているのなら、念のために使用しているルータやレイヤ 3 スイッチの性能を評価することをお勧めする。新しい製品であれば、フィルタリング性能は数年前のものよりかなり改善されているはずである。れた巨大なネットワークである。ある ISP のネットワー ISP での対応クは、多くの ISP か相互接続を確保するための拠点 ( Ⅸ (lnternet eXchange) ) を介して、トラフィック相互交始点 IP アドレスを検査するフィルタリング処理は、換契約ともいうべき、、ピア契約 (peer agreement)" を締 ISP においてユーサーからの接続を直接受けるスイッチ結した ISP と相圧接続する。もちろん、 IX を使わすにほなどでもおこなうことか望ましい。しかし、多くの ISP かの ISP と直孑妾続する場合もあるだろう。また、あるではユーサーが送出した IP データグラムをそのまま通過 ISP が別の ISP のネットワークのトラフィックを運ぶこさせているようだ。これは、次のような理由による。ともある。これは、トラフィックの、、通過契約 (transit ・顧客から、フィルタリングの実施による性育旨氏下を孑商 agreement)" にもとづいておこなわれる。されることを懸念している。このように、 ISP 間で交わされるさまざまな契約にもと・顧客が送出したトラフィックのフィルタリングは、法づいてトラフィックを交換しているのか現在のインターネ的な面で間題になる可能生がある。ットの姿である。そして、この契約を糸各制御に反映させる手段として用いられているのが BGP (Border Gate- あるいは、たんに管理の手間を考えて、フィルタリング way Protocol) である。今回は、 BGP についての詳しいのような、面倒なこと " を避けているのかもしれない。し説明は省略するが、基本的には AS (Autonomous Sys- かし、プロードバンド接続か普及しつつある現在では、顧 tem) を単位とした経路制御を管理し、どの AS にどのア客がかなり大きなトラフィックを生成することも少なくなドレスプロックカ嘱しているかを判断して糸響各を決定するい。したがって、 DoS 攻撃対策の一環として、顧客からのイ督はみである。トラフィックについても、始点 IP アドレスを調べるフィたとえは、図 1 では、 ISP-A 、 ISP-B 、 ISP-D は、そルタリングをおこなうはうか望ましい。れぞれ直接トラフィックを交換している。そして、 ISP- lngress フィルタリンク C は ISP-B を経由してトラフィックを交換するとしよューザーからのトラフィックではなく、ほかの ISP う。この場合、これらの ISP と接続されているルータをから流入するトラフィックの IP アドレスを検査する、境界ルータ (border gateway)" と呼び、境界ルータで lngress フィルタリング " と呼ばれる手法も考案されては BGP を用いてほかの ISP とのあいだでトラフィックいる。交換をおこなう。結果として、境界ルータでは、どの ISP がどの用の IP アドレスを使っているかといった経路情ンターネットは、複数のネットワークか相に接続さ lngress ルータ ISP-B lngress ルタ ISP-D 51 UNIX MAGAZINE 2002.4

5. UNIX MAGAZINE 2002年4月号

御用のネットワークを分けた構成い寸に値するだろう。モニタリングの高度化 DoS 攻撃対策の一 -- 環として必要なモニタリンク饑能は、従来の不正アクセス発見のためのモニタリングとは異なる。 MID と AID 現状では、不正アクセス発見のためのモニタリングの大半は、 IDS (lntrusion Detection system : ・侵入本システム ) によって実現されている。その IDS は、 MID (Misuse lntrusion Detection) という考え方にもとづいて作られているものが多い。なんらかの不正アクセスか発生した場合、その手段はたいてい既知のものである。すなわち、まったく新たな攻撃手法であることはめったにない。そこで、只日の不正アクセス手法を研究し、そのアクセス手順の特徴を抽出する。そして、インターネットと自分か管理しているネットワークとのあいだで交換されるトラフィックをすべてモニタリングし、抽出した特徴と一致する通信があれば、、、不正アクセスが発生した可能性がある " という警告を出す。このように、不正アクセスク寺徴に合致、す - る通信をみつけて警告する手法が MID である。この考え方は、ウイルスチェック・ソフトウェアとよく似ている。この種のソフトェアの性能差は、どのくらいの数の不正アクセス手法を調べ、その特徴をどの程由出したかによる。つまり、多くの不正アクセス手法を知っている IDS は、不正アクセスの発見能力か高いのである。不正アクセス手法のなかには、たった 1 つのバケットて有効な攻撃をイ」曲、けることかできるものもある。そこで、 MID の考え方にもとづく IDS では、基本的にすべてのバケットをダンプし、検査を実施するものが多い。一方、 DoS 攻撃の特徴は、通常のデータ伝送と同しような形態で大量のトラフィックが送りつけられるという点にある。電子メールを例にとると、常扁勺な量の電子メールが送られてきても攻撃とはみなされないが、 1 日に 100 万通といったペースで送られてきたら、多くのサイトでは DoS 攻撃と考えるのが普通であろう。 DOS 攻撃を受けると、通常の状態とは大きく異なり、システムやネットワークの運用に支障をきたすほどのトラフィックか生成される。したがって、 DoS 攻撃を検知するには、、、異常な連載 UNIX Communication Notes—O 54 状態 " を発見する手法が必要になる。このような考え方にもとづく不正アクセス検出を AID (AnomaIy lntrusion Detection) と呼ぶ。 AID は、、言うは易くおこなうは難し " の典型であり、実現までには解決すべき課題が数多く残っている。その未では、まだまた研究途 - } : の手法ともいえる。とくに難しいのは、、、異常な状態 " の定義である。たとえは、上でみたように、、通常では考えられないような大量のトラフィックが送られてきた場合 " は、たしかに異常な状態と考えられる。だが、それをさらに突き詰めて、 1 日あたりの総トラフィックと上交してどの程度増えたら異常とみなすのか、 2 倍なのか、 2.5 倍なのか、 3 倍なのか、・・と考えていくと答は簡単に出せるものではない。また、、、通常の状態 " についても、矢麒月間の調則にもとづいて判断すべきか、長期にわたって調査した値によって判断すべきかといった両様の考え方がある。通常の状態にしても、それをコンピュータか理解できるように定義し、さらに、どの程度の変化まで許容するかを決めるのはひどく難しい。このため、 AID 型のモニタリングは現状ではそれほど普及していない。しかしながら、 DoS 攻撃への対策を立てる場合には、この AID 型のモニタリングこそ求められる技術なのである。全部は見られないもう 1 つの問題は、ネットワークの広帯域化にともない、すべての情報をモニタリングするのが困難になりつつあることだ。たとえば、 100Mbps Ethernet のモニタリングであれば 1 台のコンピュータ・システムで可能であるが、 Gigabit Ethernet を流れるトラフィックや、 2.4Gbps POS (Packet Over SONET) や 10Gbps Ethernet ともなると、 1 台ではとうてい処理できない。通常のコンピュータのバスでは、その帯域か完全に負酥日してしまい、コンピュータの処理能力の限界を超えてしまうのである。このため、広帯域のデータリンクを対象としたモニタリング手法カ球められていた。山も匠は、 Gigabit Ethernet 以 - ヒの帯域をもつ広帯域リンクを対象としたモニタリングでは、トラフィックを分割して処理する方法が用いられている。たとえは、図 4 では、インターネットからサーバーに至る糸各上でレイヤ 4 スイッチを用いてトラフィックを分離している。このレイ UNIX MAGAZINE 2002.4

6. UNIX MAGAZINE 2002年4月号

三匚二匚こ匚二着 ] プログラミング④ 図 5 emacs-w3m のプロモーション・ビデオンストールする必要はなく、たとえは emacs-w3m のビデオを見るのなら、端末から telnet コマンドを次のように実行するだけでいい。 % telnet tty. namazu ・ org 12345 ttyplay サーバー ttyplay サーバーの実現方法は、北目拓郎氏が考案した。これは、 /etc/inetd. conf に次のような設定を加えるといういたって簡略なものである ( 誌面の都合上、で折り返しています。以羽司様 ) 。 12345 stream tcp nowait root ttyplay /somewhere/emacs—w3m. tty この設定を加えれは、 % telnet tty. namazu ・ org 12345 のようにして、別の言算機から ttyplay サーーに接続し、 /somewhere/emacs-w3m. tty を再生できる。さらに、 ttyplay の覗き見モードを利用すれは、リアルタイムのストリーミングも可能になる。この場合は、 23456 stream tcp nowait root ttyplay 、 —p /somewhere/realtime. tty のように -p オプションを指定する。このストリーミングの仕掛けを使えば、自分がおこなっている作業を遠隔地にいる人にリアルタイムで伝えることかできる。仲間内でおこなったストリーミング実験では、とくに意味のあることをしたわけでもないのに、 IRC (lnternet Relay Chat ) 7 によるチャットと連動しておおいに盛り上がった。 7 詳しくは http://irc.kyoto-u ・ ac. jp/ を参月毟 112 このように、新たなコードを書かすに、既存の inetd というツールと組み合わせるだけで ttyplay サーバーが実現できたのは、 UNIX のツールポックス・アプローチの賜である。ポート番号でコンテンツを切り替えるという安直なサーバーではあるが、動くことにはちがいない。労少なくして功多しである。 tty mania のコンテンツ tty mania に登録されているコンテンツのなかで、もっともインパクトがあるのは小松弘幸氏か投稿したラジオー材ビデオである。これは、小松氏が踊っている姿をピデオカメラで才彡し、その映像を aatv8 というツールで ASCII アートに変換したものだ ( 図 6 ) 。 ttyplay て再生すると、たいへん滑らかに動く。一方、森本淳氏は旧世代 UNIX ノ、ツカーの面目躍如たるアイデアにより、 xterm の Tektronix 互換モードを活かし、グラフィック表示を ttyrec て録画することに成功した ( 図 7 ) 。当初、 ttyrec は文字べースの情報しか扱えないと思われていたが、 Tektronix 互換モードの活用により、グラフィック表示の録画・再生という新たな可能性カ吽まれた。 tty mania は運営開始直後から新しもの好きのあいだで話題になり、 tty.namazu.org のトッフ。ページへの初日のアクセスは約 800 件に達した。ところで、 tty mania と同様のアプローチのサイトとして Kevin On Demand!9 がある。このサイトでは、 8 http://nOOn.free.fr/aatv/ 9 http://www.takedown.com/evidence/transcripts/ UNIX MAGAZINE 2002.4

7. UNIX MAGAZINE 2002年4月号

に常日妾続かできるのはなかなか商である。しかし、不満もある。 1 つは、やはり帯域の狭さだ。 32Kbps は NTT ドコモの通常の携帯電話 (PDC) て得られる 9.6Kbps にくらべれは高速だが、しよせんは数十 Kbps である。もう 1 つは、 RTT (Round Trip Time) が大きいうえに、変動、する点だ。 ping や traceroute で観察していると、無線伝送区間の遅延が数十 ms から数百 ms と、かなりのバラッキがある。 AirH ” 128Kbps バケット通信サーピスは、狭い帯域という間題を鮹夬するために 32Kbps のイ云送チャネルを重加勺に 4 チャネル確保し、最大で 128Kbps の或を使えるようにするものである。 DDI ポケットの WWW ページを見ていたら、訂ューサーを募集していた。私カ畤っている AirH ”対応の PC カードは、この試験に利用できる「 AH ー G10 」体多エレクトロン製 ) だったので、さっそく募したところ、運よく当選し、いきなり、、 128Kbps の常日罸妾続ューサー " になってしまった。 RTT が大きいため、最初のデータが届くまでは、はっきりそれと分かるくらいの日翻爿がかかるが、いったんデータが到着し始めるとなかなか速い。現在は試験中でもあり、アクセスポイントも DDI ポケットが運営する PRIN のものに限定されているが、正式サービス開始後は、その他の ISP も順次対応する予定と聞いている。アクセスポイントカえれば、なかなか楽しみなサービスである。 DoS 攻撃への根本的文前回は、 DoS 攻撃の概要と基本的な対策について説明した。前号で紹介した防御方法は、あくまでも管理下にあるホストやネットワークか攻撃を受けにくくすることを目的としたものである。たとえは、、、不要なサービスの停止 " では、 DoS 攻撃対策にかぎらす、 TCP SYN flood- ing 攻撃によってサーバーカ包不羽大態になってしまう可能性を低めることができるにの対策は、外部のネットワークからアクセスされる可能生のあるシステムでは、いまや必顔といってもよい ) 。しかし、このようなガ去は DoS 攻撃を受けにくくするだけで、根本的な対策とはいえない。それでは、どうすれ連載 UNIX Communication Notes—O 50 ばこれらの攻撃を本黶色できるのだろうか。トラフィックを捨てるすぐに考えつくのは、 D 。 S 攻撃に使われているトラフィックを可能なかぎり事前に破棄するガ去である。 D 。 S 攻撃に使われるトラフィックの多くは、始点 IP アドレスのイ為造 (source IP address spoofing) により生成場戸励ゞ隠されている。前回説明した Smurf 攻撃でも、最初に ICMP ECHO Request バケットを発生させるとき、 ICMP メッセージを運ぶ IP データグラムの始点 IP アドレスとして攻撃先ホストの IP アドレスを指定する。 TCP SYN flooding 攻撃でも、 TCP SYN メッセージを運ぶ IP データグラムの始点 IP アドレスとしてランダムに生成されたアドレスを使うことが多い。これらの点を考えると、インターネット上の多くの場所において、不正な始点 IP アドレスを含む IP データグラムを発見したらただちに破棄する処理をおこなえば、 DoS 攻撃を減らせる可能性がある。たとえば、私の所属する奈良先端大では、 163.221 / 16 というアドレス領域を用いてネットワークの管理・運用をおこなっている。このため、学内においては、このアドレス領域以外の始点 IP アドレスを含む IP データグラムが生まれることは基本的にありえない。つまり、 163.221 / 16 以タ ) 始点 IP アドレスをもっ IP データグラムが学内から学外に向けて送られようとしている場合には、なんらかの目的タ粁リ用とみなしてよいはすである。このような、本来使われるはずのない始点 IP アドレスをもっ IP データグラムは、できるだけ早くみつけて破棄する。ルータなどで IP データグラムのフィルタリング設定を有効にし、始点 IP アドレスを調べて、問題を起こしそうな IP データグラムを捨てるようにすればよい。始点 IP アドレスを検査するフィルタリングをおこなうと、どうしても性能力氏下する。しかし、フィルタリングによる性育旨氏下は、一殳にフィルタリング処理に適用されるルールの数に比例する。つまり、フィルタリングに適用するルールが多くなればなるほど、バケット中幻性能に与える景礬が大きくなるのである。そこで、そのコストをできるかぎり小さくするために、ユーザーの端末が直オ妾続されているルータやレイヤ 3 スイッチでフィルタリング処理をおこない、適用するルールの数を減らしていく。 UNIX MAGAZINE 2002.4

8. UNIX MAGAZINE 2002年4月号

クラフィック /GUI 編 Ruby 0 いサーヒス / ネットワーク編・第を第物を第第 Delphi http://www.ascii-store.com/ Web で OK!! 日伝えるアスキーのオ Pe を 256 倍 Win32 API オフィシャルリファレンス使うための本 D 編改訂 3 版グラフィック / GUI 編アスキー書籍編集部編川合孝典著 B5 判 / 768 ページ B6 判 / 256 ページ本体価格 5 , 200 円本体価格 1 ,200 円 CD-ROMI 枚付属ロ日がわかれば、 Pe がもっと便利になる Windows プログラマ必須の AP 詳細解説 256 倍シリーズについに perl が登場 ! perl を用好評の W i n 32 A 円オフィシャルリファレンスがいてデータベースにアクセスするインターフェイ Windows 2000 / Me に対応して改訂。 Windows プスである D 引について徹底解説。 Pe 市ヾワーのログラマが日常的に使用する必須 A 円を詳細に解底力を知ろう ! 説する。 Ruby を 256 倍 Win32 API オフィシャルリファレンス使うための本界道編改訂 3 版 Windows サ - ビス / ネットワーク編アスキー書籍編集部編永井秀利著 B5 判 / 784 ページをリファレンス町 3 版 B6 判 / 296 ページ本体価格 5 , 200 円本体価格 1 , 200 円 CD-ROMI 枚付属 Ruby 灯 k を使えば G 』プログラミングも気楽になる ! Windows プログラマ必須の AP 陸詳細解説のライブラリだ。 Ruby / Tk を使えば G 団プログラミ Windows 2000 / Me に対応して改訂。 Windows プログラマが日常的に使用する必須 A 曰を詳細に解ングもお気楽に楽しめる。ウィジェットの配置やイ説する。べント処理のツポを楽しく伝授するぞ実習 C 言語 BorIand DeIphi6 新装版オフィシャルコースウェア基礎編服部誠著田口景介著 B5 判 / 306 ペーシ A4 変型版 / 2 ページ本体価格 2 , 800 円本体価格 1 , 800 円 CD-ROMI 枚付属数値データの扱い / ビジュアルプログラミング型変換 / 配列 / メの開発方法から Object モリ管理 / 関数 / Pasc の基礎、コンポー複数ファイルのコンネントの使い方などパイルなど、 C 言語で Delphi6 を基礎から学べるプログラミングを行う一冊。付属 CD - ROM には際に必須の知識を BorIand DeIphi6 と Kylix2 詳しく解説。最新の Startup Kit を収録。 C 標準にも対応。 i アプリではじめて学ぶ C 十十 Primer ん Java プログラミングアンサーブック C 十十 Primer アンサーブック田口景介著 B5 変型判 / 2 ページ Clovis L. Tondo Bruce P. Leung 著本体価格 2 , 500 円 in.J はじめて、柏原正三訳 CD-ROMI 枚付属 ↓ 0 プ 1 , ミノグ B5 判 / 400 ページはじめて Java を学ふ読本体価格 4 , 600 円者を対象に、 Java の基礎知識からプログラミン「 C + + P ⅱ me 「第 3 版」グスタイルを i アプリを題の演習問題を詳細に解材に学習できる。付属説することにより、 C + + CD - ROM には、プログプログラミングをさらに深ラム開発環境ー式がく理解する。 C + + を完全同梱され、これ 1 冊で i アにマスターするための副プリが作れる。読本。株式会社アスキー〒 151-8024 東京都渋谷区代々木 4-33-10 電話 ( 03 ) 5351-8194 http://www.ascii.co.jp/ Windows Perl 新刊 Windows 五ロ五ロ入門 C 言語新装版田口景介著 A4 変型版 / 3 ページ本体価格 1 , 600 円コンバイラ付属で手軽 ! C 言語とは何か / 変数 / 制御構造 / 条件分岐 / 文字と文字列 / 関数 / ポインタ / 構造体など、 C 言語にプログラミングの基礎知識を詳細に解説。 C 十十 Primer 改訂 3 版 Stanley B. Lippman Josee Laj0ie 共著石川勝訳 B5 判 / 1 , 232 ページ本体価格 8 , 000 円 C + + の概要と基礎知識、 C + + がサポートする各種 , つを丿のプログラミングパラダイムを豊富なサンプルプログラムとともに詳細に解説。 C + + プログラマ必携の 1 冊 ! 。 : アスキー、ラ - ニングシステム入門回ロを 0 第・ー 0 第アスキー、ラーニングシスチム 0 6 実習員ロ第新新装オフィシャルコースウェア・ - うント物式第・第第すをマ第 ⅸ 2 町取 2 i アフリー ZPPLt C 十十 Primer 改訂 3 版

9. UNIX MAGAZINE 2002年4月号

ネットワーク管理ツール② ネットワークを調べる荒井美千子、板橋ー正ネットワーク障害の分析前回は、ネットワークのトラフィックの状態を表示したり、ネットワークの異常を発見するツールを紹介しましこれらのツールで不審な状況をみつけたとき、あるいは、ネットワークを利用するアプリケーションがうまく動かない場合、ネットワーク管理者は次のような作業をおこなうことになります。・ツールでみつけた不審な現象がネットワーク障害かどうかを判断する。・ネットワーク障害だった場合には、その原因を突き止め・ネットワーク上の通信を調べる・ログメッセージを卩十ヾる・ ( もしあれアプリケーション用の動 ( 何忍ツールを障害をヾるおもな手段には、て解決する。 84 易に発見できるでしよう。がそうです。設定ミスなどは、これらのツールで上如勺容 Samba の nmblookup や smbstatus といったコマンドは、 DNS (Domain Name System) の nslookup や、認のためのツールが付属しているものもあります。たとえネットワーク・アプリケーションのなかには、動イ何寉なく、間題に応じて取捨〕尺するしかありません。な障害でも原因がピタリと分かる " といった便利な王道はなどがあります。しかし、残念ながら、、このガ去ならどんログも、障害を発見するための重要なヒントを与えてくれます。工ラーメッセージとともに、障害の原因や発生した状況カ求されていることもあるので、調査するときに有効に活用しましよう。アプリケーションの組合せや実行竟など、複雑な要因か重なって障害が発生した場合は、ネットワーク上の通信を角斤する LAN アナライサカ般に立ちます。ネットワーク障害の予防ネットワークを障害から守るには、障害が当をÉしにくいようにすることも大切です。そのためには、・新たなネットワークの構築・孑劇長・ネットワークへのホストの接続・ソフトウェアの新規導入やバージョンアップといった、ネットワークに景斧をを与える状態の変化があったときに、 - ヨ勺な重川乍だけでなく、ネットワーク上の通信も石忍しておきます。たとえば、新しいソフトウェアを導入するときには、ひととおり操作してみて、意図しない通信が発生していないかを石忍してください。正しく操作しているはすなのに、・不審なデータか流れる数回に 1 回しか通信が成功しない・疋期的に意図しない通信が発生しているなどの現象か起きている場合は、次のような原因が考えられます。 UNIX MAGAZINE 2002.4

10. UNIX MAGAZINE 2002年4月号

連載 . /Cyber Kansai P「0 」 ect— も 1 つあります ) だけを掲示し、ストリームサイトへの入ロページとして万全を期すことにしました。コンテンツのコピー各サイトごとの Web サーバーの構成と・日嶽は以下のと各サイトの、 Veb サーバーの構成と仕様のミラーチェック欟冓などは、とくに設けていません。ンへ rsync (SSH 経由 ) することにしました。コンテンツ専用サ→ヾーを置き、そこからコンテンツ管理者が各マシコンテンツの制作者が FTP でファイルを中幻逶するためのンテンツのコピーか重要な作業になります。今回は、 Web 多数の Web サーバーか並行して運用される場合は、コ棘大学 ( 中村チーム ) おりです。 ( 今回のサービス部分には直接の関係はないので、構成図ではモニタリンク 1 里の装置は除いてあります ) 。日本 Apache ユーサ会侒東チーム ) Alteon ACESwitch 180e and05 Big PC (and05) andol 0 C iSCO Catalyst 3500XL andol 1 andol 2 andol 3 and014 and015 CPU メモリ OS Pentium III Xeon (500MHz) >< 8 IGB Solaris 8 for X86 ソフトウェア Apache 1.3.20 Mini PC (and010—and015) Foundry Serverlron Cisco Catalyst 3524XL Cisco Catalyst 3524XL Cisco CataIyst 3524XL leutl 1 leutl 2 leutl 3 CPU メモリ OS AMD K6 ー 2 (380MHz) 64MB BSD/OS 4.2 leut 11 CPU メモリ OS Pentium III (850MHz) 512MB Solaris 8 for X86 ソフトウェア Apache 1.3.20 leut12 CPU メモリ OS Pentium III (850MHz) 512MB Solaris 8 for X86 ソフトウェア Apache 2.0.16 leut 13 CPU メモリ OS Pentium III (850MHz) 512MB Solaris 8 for X86 ソフトウェア Apache 1.3.20 十 mod-backhand RADIX ckp2 Serverlron Foundry ckpl Compaq ProLiant ML330 ckp 1 & ckp2 CKP す。万一、どちらかの系統が使用不能になった場午、、の対策でウンドロビンによる負荷分散を利用しています。これは、 d010 ~ and015 ) のあいだでは、 AIteon の IP べースのラ価をおこないました。 Big PC (and05) と Mini PC (an- Apache の負荷分昔攵モジュール mod-backhand4 の評ソフトウェア chamomile 0.1 ServerIron と PC (leut 11 —leut13) のあいだに Cat- alyst が入っているのは、 CKP の甲子園中継でも利用されているトラフィック・モニターを入れているためです 172 CPU メモリ OS Pentium III (866MHz) 640MB Linux ( カーネル 2.4.4 ) ソフトウェア chamomile 0.1 4 http://www.backhand.org/mod-backhand/ UNIX MAGAZINE 2002.4