« 学園祭3日目のお手伝い | メイン | 牡蠣を堪能してきた »

2005年10月11日

変な大量アクセスが終了

変な大量アクセスは、無事終了いたしました。実施された期間は、学園祭真っ只中の 10月8日 14:50:24 〜 10月10日 16:42:04 でした。お疲れ様でした。

学園祭の期間中に行われたのは、偶然なのだろうか。

今回の変な大量アクセスについて、少し統計を取ってみた。かなり暇人。

Mozilla/5.0 (Windows; U; Windows NT 5.1; ja-JP; rv:1.7) Gecko/20040803 Firefox/0.9.3

この UserAgent を基に作成したので、今回の変な大量アクセス以外のアクセスも統計に含まれている可能性があります。まぁ。話半分で聞いてください。というか、事後説明みたいなもんです。

2659	210.172.252.*
2246	60.66.55.*
1645	61.125.72.*
1643	219.165.151.*
1483	202.215.64.*
1423	218.223.192.*
1413	210.147.78.*
1238	220.55.12.*
1215	220.55.95.*
1151	60.33.6.*

Total:	711501
Unique:	6230

大量アクセスの一部だと思われるログを集計した結果です。実に70万アクセスあり、ユニークな IP アドレスは、約6000個でした。使用された IP アドレス の一部と、その回数も算出しています。

個々の IP アドレス のアクセス数を見ると、通常アクセスで多くアクセスのある IP アドレス の4倍ほどです。5分おきにリロードしている IP アドレス からのアクセスが通常アクセスのおおむねの最大値よなります。ちなみに、 RSS を取得している方は、それの 12倍 ほとになる可能性があります。

14934	CONTENT_LENGTH
14934	CONTENT_TYPE
14934	DOCUMENT_ROOT
14934	GATEWAY_INTERFACE
14934	HTTP_ACCEPT
14934	HTTP_ACCEPT_CHARSET
14934	HTTP_ACCEPT_ENCODING
14934	HTTP_ACCEPT_LANGUAGE
84	HTTP_CACHE_CONTROL
33	HTTP_CLIENT_IP
57	HTTP_CONNECTION
14934	HTTP_HOST
14934	HTTP_USER_AGENT
65	HTTP_VIA
10	HTTP_X_BLUECOAT_VIA
83	HTTP_X_FORWARDED_FOR
14934	PATH
14934	QUERY_STRING
14934	REMOTE_ADDR
14934	REMOTE_PORT
14934	REQUEST_METHOD
14934	REQUEST_URI
14934	SCRIPT_FILENAME
14934	SCRIPT_NAME
14934	SERVER_ADDR
14934	SERVER_ADMIN
14934	SERVER_NAME
14934	SERVER_PORT
14934	SERVER_PROTOCOL
14934	SERVER_SOFTWARE
14934	UNIQUE_ID

環境変数も取得してみました。大量アクセスの一部と思われる 14934 アクセスの環境変数を取得し、吐き出している環境変数の種類とその頻度を調べました。

ほとんどのアクセスは、同じ環境変数を吐いていますが、一部 Proxy の情報を吐いているものもありますね。しかし、その Proxy の情報を見てみても、大本にはたどり着けそうにはなく、むしろ、アクセスさせられているクライアントが普通に Proxy を使っていたとみてよさそうでした。

さて、どんな原理で今回の大量アクセスが発生したのでしょうか。さぱーりわかりません。

1. CEEK.JP NEWS が嫌いな 6230 ユーザー が協力して嫌がらせ

CEEK.JP NEWS は、あまり大きく無いサイトですが、それでもそれなりのユーザーが見に来ています。そのユーザーの一部が、何らかの反感を持っても不思議ではありません。そんなユーザーが協力して嫌がらせ!きっとどっかに wiki とかがあって、情報交換しているのだと思う。

2. ブラウザ(プラグイン)のバグ

今回の大量アクセスは、全て同じ UserAgent でした。ということは、このブラウザに秘密が隠されているに違いありません。作者が CEEK.JP NEWS を大好きで、関連するプラグインを作成したのだけど、何らかのバグがあった。むしろ、反感を持った CEEK.JP NEWS ユーザーが、大量アクセスを発動するプラグインを作成した!

3. 大手サイトが iframe でリンク

別に frame でもいいんですが。特定の UserAgent だけに表示される iframe を使って、大量アクセス。対象となったブラウザは、リファラ関係のバグがあるのだろう。CEEK.JP NEWS を狙ったのは、管理人がネタ好きだということを知っていたから。身内の犯行か!?

4. ウイルスをばら撒いた

CEEK.JP NEWS や Google News などに、大量アクセスを送るウイルスがひそかにばら撒かれていた。まいていた勢力は、こういったサイトを嫌う勢力だということは、容易に想像できる。踏み台になった方は、すぐさまウイルスチェックをお勧めします(パターンファイルに入ってないと思うが)。

5. ISP による工作

お気づきの方も多いと思うが、今回の大量アクセスは、ほとんどが国内の IP アドレス でした。通常、このような大量アクセスは、隣国から行われる場合が多いような気がしますが(他にもオーストラリアなど)、国内の IP アドレス を使うしかなかったのだ。それは、国内の ISP が協力していることを裏付ける。ついに CEEK.JP NEWS も大物になりましたね。

6. 松田優作 のファンサイトからのアクセス

検索されたキーワードは「なんじゃこりゃーーーー」である。このキーワードを聞いて、ピンと来た方も多いのでは無いだろうか?そう、あの 松田優作 の名言なのです。このキーワードを含まれているニュースを知りたいがために、松田優作ファンが皆でアクセス!

7. 国家陰謀論

順応な国民を作成したいと考える国家の陰謀。って MMR みたいだな。

とまぁ。いろいろ仮説を立ててみましたが、どれも決定打にかけます。つーか、さっぱりわかりません。どうやってるんだろう。

A. 全て同じ UserAgent でアクセス (クッキー食べない)
B. 多くの IP アドレス からアクセス (Proxy ではない)
C. 期間限定

どんな方法をとれば、上記の条件を全て満たせるのだろうか。エンジニアの端くれとして、非常に気になる。解決案は、適当に考えるとしても、原理が知りたい。わかるかたはいらっしゃいますか?コメント欄で書くのがやばそうでしたら、メールやメッセンジャーでご連絡ください。情報をお待ちしております。

【関連記事】
変な大量アクセスを受けてます (2005年10月10日)

2005年10月11日 22:08 | Development

トラックバック

コメント

Tor の可能性が高いな。
http://private.ceek.jp/archives/001075.html

誰だろ。実行した人。

投稿者 ceekz : 2006年01月06日 23:22