どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話 - 朝日ネット 技術者ブログ
はじめまして、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。 本記事では、インターネットが遅い、調べてみるとネットに接続した機器がアップロードを何百ギガと繰り返している、一旦電源を落として再接続すると復旧するがすぐ元に戻る、といった症状が発生している場合の理由と対策について解説します。 各種の症状について頻度を★マークで示しております。 時刻同期(NTP)サービスの公開による踏み台被害 DNSサービスの外部公開による踏み台被害 LDAPサービスの外部公開による踏み台被害 UPnPサービスの外部公開による踏み台被害 このような被害にあわないために 採用情報 時刻同期(NTP)サービスの公開による踏み台被害 NTP monlistの脆弱性を悪用したリフレ
なるべく切れない回線のつくりかた(物理) - Qiita
※当然ながら、障害発生時はどのグレードでも0bpsになります 「なら専用線選んでおけばいいじゃん」と思うかもしれませんが、費用が圧倒的に違い、同じ帯域なら1段あがるごとに2~10倍ほどになります。たとえば5倍として、ベストエフォート100Mbpsで月額10万円なら、帯域確保は50万円、帯域保証は250万円、専用線は1000万円という差になってしまうでしょう。予算は有限ですから、むやみに高い品質を選んでしまうと帯域がとれないということになります。同じ予算であれば、1Gbpsベストエフォートがよいのか、200Mbps帯域確保がよいのかは場合によって異なるので、適切な選択をするべきです。 そして、ベストエフォートはベストエフォートでも、1Gbpsで100Mbpsしか出ないキャリアもあれば、1Gbpsで900Mbpsくらいを保証しているキャリアもあります。これは概ね値段に比例しますが、つまりベスト
0.0.0.0にはアクセスしないこと - Qiita
はじめに この記事は2019年4月時点で調べたものをベースにしています。将来的に変わるかもしれません。 tl;dr 0.0.0.0を宛先に使うのは誤り ただしOSによっては 127.0.0.1 に到達するので支障がなかったりする 想定読者 0.0.0.0と127.0.0.1の違いをすぐに答えられない人が対象です。 ネットワークな人はわかっていることだと思うのでブラウザバックしてもらって構いません。 強い人は間違えているところコメントください。 環境 Ubuntu 16.04を利用します。 $ uname -a Linux parallels-vm 4.10.0-28-generic #32~16.04.2-Ubuntu SMP Thu Jul 20 10:19:48 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux 簡単な例 Webの文脈ではWebサーバのQu
サイトブロッキングが話題なのでDNSブロッキングを実現するための方法を検証してみた - くろの雑記帳
本日、NTTコミュニケーションズ、NTTドコモ、NTTぷららの3社はサイトブロッキングを実施するとの方針を発表しましたね。 www.ntt.com https://www.asahi.com/articles/ASL4R4Q81L4RULFA01G.htmlwww.asahi.com 技術的にはどのように実現すればよいのか興味があるので検証してみました。 サイトブロッキングを実現するための方法の一つとして、「DNSブロッキング」という手法があるそうです。ISPがユーザに対して提供しているDNSキャッシュサーバでブロックしたいサイトの名前解決をできないようにする手法です。ただこの手法を用いても、ユーザがISPの管理外の 1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 のようなpublic DNS serverを使えば回避できてしまうのであまり意味はありません。 DNSブ
QUICとHTTP/3時代のインターネット解説書はどうあるべきだろう - golden-luckyの日記
OSI参照モデルとTCP/IPモデル なぜいまでもOSI参照モデルによる説明が多いか QUICは、TCP/IPモデルのトランスポートとはいえるが、OSI参照モデルのレイヤ4とはいいにくい HTTP/QUICモデル QUICをどう解説するか OSI参照モデルとTCP/IPモデル かつてぼくたちは、7つのレイヤに分かれたOSI参照モデルという姿でコンピュータネットワークを学び、その7層のモデルにそって各種のプロトコルを理解しようとしていました。 だから、「SONET/SDH上のATM回線でIPパケットをやり取りする」という構想をきけば、「つまり、SONET/SDHがレイヤ1で、ATMがレイヤ2で、IPがレイヤ3なのだな」という枠組みを頭に描いていました。 と同時に、OSIのレイヤとはいったい……、というアンビバレントな想いにさいなまれることもよくありました。 「SONET/SDHがレイヤ1って
プロキシとの戦いに疲れたのでgoで透過プロキシを作ってみた - Qiita
背景 Qiitaのproxyタグを見てもわかるように、多くのエンジニアがプロキシサーバとの戦いで日々消耗し続けている。とはいえ、主にセキュリティ上の理由でプロキシサーバの利用は必要なことも分かる。 となると、プロキシサーバを意識しなくても(設定しなくても)自動的にプロキシサーバを経由してくれるようになればうれしいよね? これは透過プロキシと言って昔からある考え方で、QiitaにもProxy環境下での仮想GW構築というすばらしい記事がある。 しかし、上記記事では透過プロキシにredsocks、DNSサーバにpdsndと複数のツールを組み合わせて実現されており、それぞれインストールや設定するのが個人的には面倒というのと、記事中で述べられているとおり、プロキシ経由で53/tcpに接続できない場合に対応できないという制約もあった。 というわけで、今回go言語の勉強も兼ねて自分好みの透過プロキシを自
Proxy環境下での仮想GW構築 - Qiita
はじめに この記事自体は随分古くなったものの、未だに時々proxyに心を折られた方からいいねを頂くことがある。 そして、現在では遥かに優れた素晴らしい記事を書かれている方がおり、より簡単にproxyとの戦いに終止符を打つことができるようになった。是非そちらを参照頂きたい。 概要 通常、proxy環境下においてクライアントがproxyを通過して外部ネットワークに(間接的に)アクセスするには、環境変数http_proxy等、明示的に設定を行う必要がある。 しかし、ソフトウェアによっては設定方法が違ったり対応していなかったり、そもそも環境変数を差し替えるのが難しい状況があったりして、このあたりが問題で作業に支障をきたしているような状況を最近良く見る。 規則違反(あるいはセキュリティインシデント)になってもよければ踏み台を準備するなど対処方法はいくらでもあるが、そこは規則を遵守したい。 そこで、T
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPSecとL2TPの関係。 VPNの勉強をしています。IPsecとL2TPはセット、というように検索等すると出てくるのですが、IPSecが暗号化と認証をし、L2TPがクライアント…