Big Bang

パソコンの電源を入れた時、メモリー空間に無限の宇宙が拡がる

やっぱDoS攻撃てかスパムが原因か

| 0件のコメント

ファンブログの「コメント・トラックバック機能に関するお知らせ」

http://fanblogs.jp/fanbloginfo/archive/118/0より

 

2013年07月19日
日頃よりファンブログをご利用いただき、誠にありがとうございます。

ファンブログでは、負荷対策の一環として
一時的に、コメント・トラックバックを非表示および、機能を停止させていただいております。
問題が解決しましたら、再開させていただきます。

ご利用中の会員様におかれましては、大変ご迷惑をおかけいたしますが、
何卒ご理解賜りますよう、お願い申し上げます。

最近のファンブログの不調の原因はスパムの過剰アクセス

やっぱ原因はDoS攻撃か。てか、これはDos攻撃とはいわんな。スパムが原因か。

DoS攻撃 – Wikipediaより

<blockquote”>DoSはネット上のトラフィック(通信量)を増大させ、通信を処理している回線やサーバの処理能力(リソース)を占有することによって、システムを使用困難にしたり、ダウンさせたり、過負荷によってサーバの機材そのものを誤動作させたり破壊したりする。 例えていうと、「ターゲットのもつ電話機に無言電話やいたずら電話を大量に発信して、ターゲットが正常に電話機を使用(受・発信)できないような状態にすること」であると考えると理解しやすい。

実は、昨年の暮れに、このブログの各カテゴリーの最新記事を取得して表示するというスクリプトを作ったんだけど、ちゃんと動いたんでヤバいかなと思っていた。でも、さすがにそれは書かなかった。ヤバいから。

なぜ、ヤバいかというと、そのスクリプトは各カテゴリー毎のページをそれぞれ読み込んでデータを取得するというものだった。スレッドのような手法で並列処理を行い、1秒間の間に、同じファンブログから10~20個のページを取得させていたわけだけど、見事に動作した。つまり、1秒間に何十回アクセスしてもちゃんと返事が来るということです。

ちなみに、似たようなスクリプトをここで動かしているけど、うまくデータを取得しないことが多い。それは何度もアクセスすると拒否されるからです。

こないだ公開した「ファンブログからWordPressへデータを完全移行するスクリプト」も姐さんが使ったら15分弱で全記事、全コメント、全トラックバック、全画像を取得完了したそうな。

その総取得数、 記事 982、コメント 3332、トラックバック 23、画像数 889あって、コメントとトラックバックは1ページから複数取得する可能性があるけど、記事と画像は1個取得する度に1アクセス必要です。それが、わずか15分で完了した。

ちなみに、コメントとトラックバックは、それぞれ記事とは違うページから拾っています。

それの何がヤバいのか

本来は、アクセスがいくらあっても返事をしてくれるということは、いいことなんだけど、それをスパムに狙われるとヤバいことになる。

姐さんがスクリプトを動かした際に、ファンブログにアクセスしたのは少なく見積もって2000回以上。それだけのアクセスを15分間しつづけて拒否されなかったわけだ。

15分で2000回なんだから、1時間(3600秒)あれば8000回以上のアクセスが出来ることになる。それだけのアクセスを途中で拒否せず、受けつづけたとしたら?1日に20万アクセス近くいくことになる。

もしも10個のスパム業者がファンブログに対して、それを実行すれば1日に200万アクセスいくことになる。スパム業者が100社だったら?

おかしなアクセスは、どこかで拒否しないとアクセス過多になる。

関連記事「スパムが多いとアクセス障害が発生する

今回、ファンブログがコメントとトラックバックを封鎖したのは、アクセス過剰なスパム対策なんじゃないだろうか。というのはあくまで想像ですが。真相は闇の中。

ファンブログからWordPressへデータを完全移行するスクリプト」を初心者でも使えるようにしようと方法を考えていたんだけど、これで必要なくなったかな。スキルのある人だけが使えればいいか。

この下は、ひとりごと

ファンブログのログインIDとパスワードはA8.netと同じなんだよね。しかもA8.netのパスワード設定欄にはパスワードは何文字から何文字までにしてくださいって書いてある。もし、ログインIDとhttp://fanblogs.jp/xxxxxxxx/のxxxxxxxxを同じにしてしまっている人はヤバいかも。

たとえば、パスワードに使えるのが数字だけで5桁だときまっていたら、00000~99999まで順番に入力すれば確実にクリアできる。入力回数が無制限で、何回失敗してもやりなおせるなら短時間で突破できるだろう。それはアルファベットが入っても、桁数が増えても、入力回数が増えるだけで同じ事。ログインIDを公表しているような状態で何回でもアタック出来たのなら。。。

A8.netのログインIDとhttp://fanblogs.jp/xxxxxxxx/のxxxxxxxxを同じにしてしまっている人は、この際、移転するなり、一旦退会して再入会した方が無難な気がする。

銀行口座を書き換えれば足がつくのでやらないでしょうが、退会ボタンを押せば報酬をゼロにすることは出来る。


数字10個、アルファベット大文字26個、小文字26個。これだけで62個。それの桁数乗。

二桁なら62×62=3844

三桁なら62×62×62=238328

実質的には無理だと思うけどね。

以上、無責任なひとりごとでした。

コメントを残す

Top