5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

さくらインターネット さくらのVPSスレ Part24 [転載禁止]©2ch.net

1 :名無しさん@お腹いっぱい。:2015/11/08(日) 02:57:12.11 0
ライバルが少ない Windows VPS も新登場。

国内ホスティングの老舗、さくらインターネットのVPSサービス「さくらのVPS」について、
利用者同士で雑談するためのスレッドです。

* さくらのVPS Windows 公式
http://solution.sakura.ad.jp/windows_vps/index.html

* さくらのVPS Linux 公式
http://vps.sakura.ad.jp/

* ローカルネットワーク】石狩・東京・大阪の各リージョン内で「追加料金無し」で利用可能
http://vps.sakura.ad.jp/feature/lnw.html

* さくらのSSL (VPSにインストールする証明書) … 11月30日までラピッドSSLの利用料金「1年分」無料!
http://ssl.sakura.ad.jp/

* ドメイン取得
http://www.s@kura.ne.jp/domain/ (2chのNGワードなので @ を a にしてね)

* 前スレ - さくらインターネット さくらのVPSスレ Part23
http://peace.2ch.net/test/read.cgi/hosting/1437719174/

551 :名無しさん@お腹いっぱい。:2016/02/23(火) 18:08:40.46 0
>>548
問題なのはそこじゃなくて、明らかによくわかってない人が公式FAQ書いてる事だな
サーバ管理のプロのさくらの解説だから正しいだろうと、あちこちのサイトにコピペされて広がっているようだし、害悪

「本格的なDDoS攻撃等に対してiptablesのみによる防衛では不十分ですが、ネットワークをスキャンしてセキュリティホールを突くボットの被害にあうことを先送りにすることができます。」

あたりからして、明らかに分かっていないで書いてるのが丸わかりだわ

一応書いておくと、今時のBOTの多くは http, ftp, telnet, ssh などの標準ポートをまず狙い撃ちしてサービスの待ち受けが確認できたら様々な種類のexploitを送り付ける
なので標準ポート以外に変更しておくと大抵の攻撃を防げるが、一部のボットは全ポートをスキャン(ステルスではなく普通に)する 65,535ポートしかないからスキャンはすぐ終わる
「ネットワークをスキャンしてセキュリティホールを 突くボットの被害にあうことを先送りにすることができ」るとさくらが主張しているへっぽこなiptablesの設定で、攻撃抑止効果があるようなBOTなんて1%も無い

無効なフラグのパケットはYAMAHAとかCISCOのルーターレベルで廃棄されちゃうから、わざわざボットは使わんわw

552 :名無しさん@お腹いっぱい。:2016/02/23(火) 18:22:44.51 0
iptables で DoS対策とか、馬鹿なの?
>>547 の設定は無効なフラグのパケットに Linux OS が RST を返すことを防ぐという極めて限定的な効果しかない
DoS/DDoSする人が無効なフラグのTCPパケットを送る必要性がそもそもなく、有効なフラグの組み合わせのTCPパケットでも、UDPパケットでもなんでもいい


今時のDoS/DDoSはただ単にサーバから見て下りの帯域を埋め尽くすシンプルな攻撃が一般的だ

さくらのVPSって100Mbps共有なんだから、やろうと思えば、400Mbpsでる俺んちのフレッツ光ネクストの回線からでも理論上、帯域全部埋め尽くせる
そして、VPSの利用者は、DDoSどころか、たった1人のフレッツ光ネクスト回線からのDoSすら防ぐことが技術的に不可能

効果的なDoS/DDoS対策は CDN の利用と、上位プロバイダのDoS対策サービスに任せて上流でパケット廃棄してもらうことだけであり、それ以外では対策は不可能

こういった共有100Mbps(占有100Mbpsでも駄目だけど)とかのVPSや専用サーバを契約する人は、たった1人の光回線からのDoSすら防げないことを認識しといた方が良いと思う
DoS/DDoSでサービスダウンするのを防ぎたい場合には、10Gbps以上の帯域を持つクラウドサービスをお勧めしたい

553 :名無しさん@お腹いっぱい。:2016/02/23(火) 19:00:16.50 0
2chでは "ググレカス" とよく言われるけど、分からないことがあったらと言ってすぐググる癖をなんとかした方がいいぞ
サーバ構築、php 関係でググって上位に表示されるページは、出鱈目だらけだ
まずは黙って man コマンド実行して公式マニュアル読め
ググって不正確な情報に惑わされる前にまずマニュアル読め


https://help.sakura.ad.jp/app/answers/detail/a_id/2423 の価値を検討してみると、

# iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT

とあるけど iptables で -p tcp を指定した時点で tcp モジュールは暗黙のうちに読み込まれるので "-m tcp" (TCPモジュールの読み込み) は不要で冗長な記述(man 見ればそう明示されてる)

百歩譲ってさくらの解説ページの筆者が無意味なモジュール読み込みの記述までも冗長にする方針だったとしても

# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
と、省略されていて、
# iptables -A INPUT -p tcp -m tcp --tcp-flags ALL NONE -j DROP
と冗長に書かれていない場合もあって、同じtcpモジュールなのに書き方に整合性が見られない(--tcp-flags も tcp モジュールのオプション)


何故、こういう一貫性の無いTipsページが出来上がるかというと、あちこちからコピペしてきた情報を継ぎ接ぎしているからだ
こういうのは無価値な情報ページなので、参考にしてはならない

以上、サーバ管理のプロフェッショナルからの忠告でした

262 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)