土曜日, 3月 14, 2009

ホワイトリストファイルの常軌を逸したダウンロード

 公開ホワイトリストの更新は一ヶ月に1度あるかないか、多くても数回という程度である。ウィルス対策ソフトのパターンファイルじゃあるまいし、私が公開するホワイトリストファイルを寸暇を置かずに反映しなくても、セキュリティ上の問題が起こるわけでもない。私が使っているウイルスバスターでさえ、パターンファイルの更新チェックの周期はデフォルトで3時間、最短設定で1時間である。なのに、何を考えて5分間隔でダウンロードしているのか。
 そういう常軌を逸したダウンロードをしているのは1サイトだけなので、リソース負荷は問題になっていない。しかし、「自分一人くらいやっても問題ないだろう」と思うのでなく、「自分と同じことを100人がやったらどうなるか」を考えてほしい。S25R方式を採用するサイトは非常に増えているのだから。100サイトが同じことをやったら、私のサーバは34KBのファイルを3秒に一度の割合で送り出さなければならなくなるのである。
 逆引き名からは、IPアドレスの割り当て1個の小規模サイトか個人サイトと推測された。アクセス元ホストはSMTPアクセスに応答したが、「postmaster@逆引き名」にメールを送ったら「Relay access denied」で蹴られた(mydestinationパラメータに逆引き名が含まれていないらしい)。HELOコマンドへの応答で示されたFQDNは順引きできず、メールは配送エラーになった。手動のSMTPでpostmaster宛に「一日1回にしてください」とメッセージを打ち込んだ。
 その後24時間たっても5分間隔のダウンロードは止まらなかった。postmaster宛のメールをちゃんと見ていないことが考えられる。ルータでHTTPアクセスをブロックした。これで、そのサイトからは、ホワイトリストファイルはもとより、私のウェブページや掲示板にもアクセスできなくなる。しかし、私のスキルでは、気付いてもらうための策がほかに思い付かなかった。
 …と、ここまで書いたところで、whoisで逆引きドメイン名の登録者を調べて通報することを思い付いた。

(続編)
常軌を逸したダウンロードの犯人がわかった

2 件のコメント:

stealthinu さんのコメント...

売り物のウイルス対策ソフトやスパムフィルタと同じノリで考えてやっちゃうんでしょうかね…

deo さんのコメント...

 私のサイトは趣味で運用しているちっぽけな個人サイトにすぎないのですが、そのことへの配慮がないんでしょうね。
 毎日アクセスするサイトでも、気を遣ってくれる所は、ファイルのタイムスタンプを見て、更新されている時だけダウンロードするようにしてくれています。