SIM フリーどさにっき 〜2014年1月中旬〜
by やまや
■
西表島
_
飛行機を乗り継いで石垣島までやってきたですよ。北回帰線までもうちょっとの北緯24度。シーズンオフだから飛行機往復+ホテル3泊で3.3万円というアホみたいな安さだけど、泳がないのであれば暑くも寒くもないのでむしろ過ごしやすくてちょうどいいよ。まあ、安いだけあって夜到着の朝出発で、4日あっても現地行動は実質2日しかないんだけどね。
_
で、きのうの夜に到着して2日目の今日。船で40分の西表島に。沖縄では本島に次いで2番目に大きな島ということなんだけど、人口はそんなに多くはないので交通機関は貧弱。ということで、原付バイクをレンタル。学生のころは原付を乗り回してたので、ずいぶん久しぶりにはなるけどまったく問題なし。真冬だけど、風を切って走ってもちっとも寒くないから気持ちいい。
_
で、ほとんど車が走ってないけどひじょーによく整備された道を30分ほど走って由布島へ。島に渡る交通機関が、水牛。ちょうど干潮のころだったので海というより干潟という感じで、長靴で歩いて渡る人もちらほら見かけた。水の抵抗も少ないので水牛も歩きやすそうな感じ。ゆっくりのんびり急がないのがたいへん心地よい。由布島は昔は人が住んでたらしいんだけど、今は島全体が植物園に。それまで雲が多めだったのがきれいに晴れ上がって気温も上がって、長袖では暑いぐらいの陽気で、そこに色とりどりの花が咲いて蝶が舞って見事にステレオタイプな南国イメージそのままな風景に。
_
さらに原付で走って西表島の北側〜東側をほぼあっちからこっちまで走り通してから引き返してたら、雨が降ってきた。うぇぇ。まあ、そういう天気予報だったけど日があるうちはもちこたえそうな感じだったんだけどなぁ。しばらく木陰で雨宿りしてたけどやみそうにないので、カッパがわりに念のために持ってきたウインドブレーカーを着こんで雨の中を帰還。
_
石垣島に戻ってきたのは6時ごろなんだけど、まだ明るいんだな。東京ならもう真っ暗な時間のはずなのに。調べてみたら東経124度で東京とは15度の差。時刻に換算するとちょうど1時間分の違い。日本って、意外とデカい。
_
沖縄最大の滝、ピナイサーラの滝遠景
海を渡る水牛
マングローブの茂る河口
■
竹富島石垣島
_
お天気悪いなぁ。
_
船に乗って10分ちょいの竹富島へ。ここはレンタサイクルでまわるのがオススメらしいが、雨の中自転車はイヤだなぁ、つーことでてくてく徒歩でぐるっと島を一周してみる。赤い瓦の民家が立ち並んでいて、道路もアスファルト舗装ではなく白い砂(というか、貝殻やらサンゴの砕かれたものっぽい)でなかなかいい感じなんだけど、やっぱり天気がなぁ。赤い瓦、白い砂ってのはやっぱり青い空にこそよく映えると思うんだけどねぇ。降ったりやんだりのこの暗い空は残念。
_
午後は石垣島に戻ってレンタカーで島を一周。これも天気がよければ原チャリのつもりだったのに。海沿いの道を走ってたんだけど、意外と海は見えない。島の人にはたぶん海なんて珍しくないんだろうな。台風のときなんかを考えると吹きっさらしになるのは避けたいだろうし。ということで、走ってても意外とつまらん。川平湾の海の色の鮮やかさはすばらしいけど、やっぱり天気がもっとよければ見え方もずっと違うんだろうなー、という思いが先に立ってしまって残念な感じ。また来ればいいや、とも思うんだけど、次はいつになるんだろうか。
_
竹富島でも水牛
竹富島の家並
川平湾
_
暖かい石垣島から戻ってきて、たいしたことないはずの冬の東京の寒さに凍えていたら、BIND だけは早くも夏になっていた。お仕事サーバの方はきのうのうちに対応が完了していたようで、自分の仕事はなし。ありがたい。
_
最近の BIND は怪しいところはみんな assert してるので、穴があっても落ちるだけでコード実行にまで至らないのがすばらしいね(←もうあきらめてる)。
■
DrDoS
_
ええと、それから、昨年の暮れあたりから聞こえてた NTP amp についても、
アドバイザリが出ましたな。個人的には去年の夏ごろ(だったかな?)にすでに具体的な手法は認識してたので驚きはないんだけど、効率よくお手軽に amp できる DNS のオープンリゾルバがほいほい見つかる現状で、わざわざ NTP で amp しようとか考えるヤツなんかいないだろうし後回しでいいよね、とか思ってた。そういう意味では実際に攻撃に使われちゃって完全に予想外ではある。
_
ちなみに夏ごろに認識してたというのは、
コレ。NTP 以外にも SNMP や CHARGEN が危険と書いてありますですよ。SNMP がオープンになっているところは少ないとは思うけど、
SNMP の増幅率は桁違いにデカいので、もし狙われるとひじょーにヤバい。世間ではサーバ監視を外部委託することもあるようで、そういうサービスを利用するために SNMP を外に開けているような場合はとくに注意が必要。CHARGEN は、よく知らんが、まあ使ってるところはないよね。
_
こういう反射攻撃(distributed reflection DoS 略して DrDoS っていうらしいよ)は、DNS だからとか NTP だからとかではなく、UDP だから、というのが本質なんで、じゃあほかに増幅しやすい UDP 上のプロトコルはなんじゃ、というゲスいことを考えてしまうわけで。UDP でクライアントからの要求とサーバが返す応答のサイズが非対称になるものというと、音声やら動画やらのストリーミングがすぐに思い浮かぶよな。あまり詳しくないけど、たいていのストリーミングプロトコルは開始する前になんらかのネゴシエーションをやってそうな雰囲気なんで、それを突破しないことには amp 攻撃には利用できなさげな気がする。実際はどうだか知らん。
_
その他 UDP 以外も含めた reflection attack 全般については、
これが詳しい。2001年に書かれたものらしい。DNS amp が世間的に知られるようになったのは2006年ごろだと思うけど、2001年のこのペーパーにもちゃんと入ってる。DNS amp の初出自体はもっと古くて、1999年の
bugtraq に流れたメールと、それを受けた
AusCERT のアドバイザリのはず。もう15年も前ですよ…。
やまや