モーグルとカバとパウダーの日記 このページをアンテナに追加 RSSフィード Twitter

モーグルやカバ(EXカービングスキー)、山スキー(BC)の山行記録などがメインの日記です。
いろんな条件のいろんなところを、その時々の条件にあった滑り方で楽しむ、フリースキーをして遊んでいます。

検索で来られた方は、上の検索窓から再度検索していただくか、右サイドバーのカテゴリーやトピックスの項目で絞り込んでみてください。
仕事柄、コンピュータ系のネタも多いので、スキー関連ネタだけ読みたい方は[ski]、コンピュータ関連ネタは[pc]、スパム関連ネタは[spam]で絞り込んでください。

モーグルとカバとパウダーの日記 > 2007-07-03 (Tue) > taRgreyのtarpitting時間につい...

2007-07-03 (Tue)

[pc][spam]taRgreyのtarpitting時間について taRgreyのtarpitting時間についてを含むブックマーク taRgreyのtarpitting時間についてのブックマークコメント

前のエントリーで書いた和歌山大学で導入されているtaRgreyの件で、和歌山大学システム情報学センターの吉田さんからメールいただき、いろいろと情報をいただいていました。

その中で、taRgreyの遅延時間について大変参考になる資料をいただきました。


f:id:stealthinu:20070703153117p:image

これは遅延時間が3分(180秒)での切断時間のログです。

このログから、今まで推奨していた65秒の遅延では、遅延で拒否できる接続の約65%までしか拒否されず、約2分強まで掛けたほうが良い、ということがわかります。

ただ実際にはここまで漏れ(false negative)があるわけではないので、残りの分はHELOによるフィルタなどで落とされている可能性が高いと考えられます。


(追記)

Birds Of a Feather | taRgreyの遅延時間を125秒にした場合

Birds Of a Feather | taRgrey遅延時間を125秒にして丸一日の集計 より

cookie@信州FMさんのところで125秒で設定して試していただいたログでも、同様の結果が出ており、拒否されたIPを見るとやはりみなspamのようです。


自分のテスト環境ではこんな感じでした。

f:id:stealthinu:20070705142716p:image

やはり、120秒で大きな山が出ています。

そしてこの山はpipelining(こちらが返答を返していないのにもかかわらず、待たずに残りの情報を送ってきて切断しているもの)なので、普通のメールサーバでそんなことはしませんから、それだけでほぼ間違いなくスパムであることがわかります。


これまでの65〜90秒程度までのグラフについては

モーグルとカバとパウダーの日記 - Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ

のものを参照してください。


自分はStarpit、つまりgreylistingでの救済がない運用から始めているため、遅延時間を最大でも90秒程度からテストしていました。

しかしtaRgreyの場合、tarpittingで誤検出する場合でも、greylistingでの救済がありますから、tarpittingの時間を長めに取っても誤検出となる可能性は低く抑えることが出来ます。

120秒のtarpttingだと、S25Rに引っかかってtarpittingを抜けられない正しいサーバがごくまれにありますが、greylistingで救済されると考えられます。

なので逆に、tarpitting+greylistingの2重でフィルタして運用している場合は、やはり65秒程度にしておいたほうがベターだと思います。


自分は今とりあえず、125秒に設定して運用試してみています。

もしtaRgreyで65秒ぐらいで運用されている方は、false negativeが気になる場合、125秒くらいに設定試してみて、false positiveが増えたりしないか、確認いただければと思います。

もし悪影響が少ないようであれば、この値をデフォルトにしたいと思うので、レポートいただけるとありがたいです。


(関連)

モーグルとカバとパウダーの日記 - 和歌山大の情報センターでもtaRgrey導入されてる

モーグルとカバとパウダーの日記 - Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ

モーグルとカバとパウダーの日記 - taRgrey - S25R + tarpitting + greylisting

コメントを書く

cookie@信州FMcookie@信州FM 2007/07/04 14:19 taRgreyのtarpitting時間を125秒にして集計してみましたが、これまで65秒設定で通過していたものが見事に止まっている感じです。
簡単ですが、遅延時間のヒストグラムもグラフにしておきました。

stealthinustealthinu 2007/07/04 15:25 ありがとうございます。
確かにこれで抜けがだいぶ減りますね。ただ、false positiveの可能性は増すので、それがどのくらい影響あるかが気になるところです。
早速、エントリーへ追記させていただきました。

cookie@信州FMcookie@信州FM 2007/07/05 09:38 taRgreyのtarpitting時間を125秒にしてから、丸一日経過したので切断時間を再度集計してみました。
グラフも描き直しましたので、こちらと差替えいただければと思います。
http://shinshu.fm/MHz/77.88/images/xc4Yx9G6.png

stealthinustealthinu 2007/07/05 10:50 新しいものに差し替えさせていただきました。
こちらはもっと顕著な値が出てますね。

cookie@信州FMcookie@信州FM 2007/07/05 15:28 こちらでも切断時の理由を調べてみましたが、切断時間が100秒以上のものは、そのほとんどが「pipelining after *** sec」でした。

stealthinustealthinu 2007/07/06 09:40 やっぱりそうですよね。
ということは、このピークは、特定のbot群を持ってるスパム送信業者1社のみ、ということなんだと推測出来ます。
そこだけで、全スパムの約3〜4割を出してる、と。

cookie@信州FMcookie@信州FM 2007/07/06 12:25 はい、全く同様の推測をしておりました^^;
それ以外でも、切断時間のピークが現れている箇所は、同一システムか同一ソフトを使っている可能性が高いって事かなと思っています。

ohbaohba 2007/07/06 18:15 中国発のspamが95秒でもかなり抜けてくるので、
しばらく前から、125秒の設定にした部分があります。
報告すればよかったかも。
(定量的な解析してないのものですから…(^^;))
結構、119秒とかが多い感じもしますし、
123〜124秒まで粘るのもありますね。

あと、sleepでに相当数を叩き落してますが
それでも抜けたものをあらためてブラックリストで
チェックをするようにもしてみました。

stealthinustealthinu 2007/07/10 12:18 >>cookieさん
そうですね。90秒でのピークや、60秒でもpipeliningで切ってるのは、たぶん同一業者でしょうね。
そう考えると、スパムの7割は3,4件のスパム送信業者によって撒かれてるんじゃないかと思います。

>>ohbaさん
やっぱり遅延時間延ばされてるのですね。
とりあえず、Webのほうの表記を125秒推奨に変更することにしました。

トラックバック - http://d.hatena.ne.jp/stealthinu/20070703/p1
リンク元

<< 2007/07 >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

2003 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 |

プロフィール

stealthinu

stealthinu

モーグルやカバ(EXC)山スキー(BC)などがメインの日記です。仕事柄コンピュータ系のネタも多く特にスパム対策のことをよく取りあげてます。

はてな

S  | D  | B  | A  | R  | F

カテゴリー

特設トピックス

  • 誤検出や副作用をより少なくすることを目標としたサーバサイドのスパム対策手法
  • コブ入門
    コブ初心者、モーグル入門者のための、コブの滑り方
  • Naxo
    ディアミールのような、山用アルペンビンディング
  • ZAG
    EXC出来るほどRがきつく、浮力を得るためトップが太く長い、パウダー用板
  • METRON
    来期AtomicのEXCやパウダーなどに向く万能板でZAGと近いカテゴリー
  • 山用ウェア
    BCで使う山用ウェアの購入記録

他コンテンツ

最近のコメント

1. 06/27 stealthinu
2. 06/27 脱毛おじさん
3. 12/20 stealthinu
4. 12/20 stealthinu
5. 12/20 hito
6. 12/20 stealthinu
7. 12/20 stealthinu
8. 12/20 hito
9. 12/20 stealthinu
10. 12/20 kou
11. 11/14 h-fujita
12. 11/14 stealthinu
13. 11/14 h-fujita
14. 11/14 stealthinu
15. 11/14 たかむら
16. 11/10 stealthinu
17. 11/10 いけだ@国分寺
18. 11/10 stealthinu
19. 11/10 いけだ@国分寺
20. 04/12 stealthinu

最近のトラックバック

1. 01/13 Twitter / @tatsuya_i
2. 12/20 Twitter / @Psycho_Lo
3. 11/25 (元)うつ病患者の独り言 for はてな
4. 11/25 Twitter / @elderly_w
5. 11/25 Twitter / @yyamanobe
6. 11/25 男の魂に火をつけろ! 〜スポーツ映画ベス
7. 11/14 Twitter / @h_o_e_2
8. 11/14 Twitter / @sv01kai00
9. 06/01 ここは酷い地デジ難視対策衛星放送ですね
10. 11/27 ここは酷い地デジ難視対策衛星放送ですね
11. 11/27 Lucid Dream - ELBのIP
12. 04/12 Twitter / @mogya
13. 02/18 h-ふじた(藤田浩)の日記 - [すき
14. 01/12 ペニーオークション業者に撤収の動き
15. 01/12 まっちゃだいふくの日記★とれんどふりーく
16. 12/04 まっちゃだいふくの日記★とれんどふりーく
17. 12/02 まっちゃだいふくの日記★とれんどふりーく
18. 11/10 まっちゃだいふくの日記★とれんどふりーく
19. 11/10 まっちゃだいふくの日記★とれんどふりーく
20. 10/28 まっちゃだいふくの日記★とれんどふりーく

人気記事

1. ほんとに「オオアリクイ」スパムはベイズよけのため生まれたのか? - モーグルとカ
2. 今時のLinux(Ubuntu11)での起動シーケンス - モーグルとカバとパウ
3. Starpitでほぼ誤検出無く98%のスパムを排除 (S25R+tarpitti
4. 6月8日にフレッツ光接続だと遅くなる理由とその対策 - モーグルとカバとパウダー
5. デールベッグスミスはスパマーだった…
6. ハッシュタグなどでtwitter検索した結果を表示して自動更新するjavascr
7. モーグルとカバとパウダーの日記 - coLinuxとVMware Linux、G
8. モーグルとカバとパウダーの日記 - VMware PlayerにWindows
9. フレッツ光接続で非常に遅いページがあるのはNTTがIPv6使って身勝手なサービス
10. botnet使ってバイアグラスパムを撒いてたロシア人が捕まりスパムは6割減 -
11. 「@ユーザー名」でtweetを送ってくるtwitterスパム - モーグルとカバ
12. モーグルとカバとパウダーの日記 - taRgrey - S25R tarpi
13. Postfixの設定でClamSMTPとSpamAssassinを利用する
14. Linuxでデーモンが書き込み等出来なくなり停止する障害が発生 - モーグルとカ
15. モーグルとカバとパウダーの日記 - Google Safe Browsing A
16. モーグルとカバとパウダーの日記 - screenの設定
17. 携帯の契約者固有IDを悪用した詐欺が予測された通りになりつつある - モーグルと
18. 第9回まっちゃ445勉強会(迷惑メール対策勉強会)で講師してきました - モーグ
19. モーグルとカバとパウダーの日記 - いらない自動起動プログラムとサービスの削除
20. Emacsでインデントを、タブを使わないでスペースを使う設定 - モーグルとカバ

最近の見出し

[pc][勉強会]2/11-12に長野ソフトウェア技術者グループ(NSEG)の白
[pc][spam]twitterトレンドキーワードのスパムについての雑感
[pc][security][spam]ついにワンクリ詐欺から直接脅し電話が掛か
[pc]今時のLinux(Ubuntu11)での起動シーケンス
[pc]僕のラジオ
[pc][spam]ほんとに「オオアリクイ」スパムはベイズよけのため生まれたのか
[pc]iPod touch + docomo(FOMA) + モバイルルータ
[pc]Firefoxでタブの復元ができない場合のチェックポイント
[pc]iPhoneのカレンダーでGoogleカレンダーを使う
[pc]VMware Player 4でvmnetcfg.exeを動かす
[pc][spam]「みんなの評価」はあてにならない
[pc]TeraTerm(とLogMeTT)で16色しか出ない
[pc][spam]twitterスパマーがだんだん巧妙になってきた
[pc][node]Ustreamでチャンネルをリアルタイム切り替え出来る「Uc
[pc]twitterはIEで見ると角丸じゃない
[pc]magitのハイライト色の変更
[pc][node]nodeのsocket.ioで接続元クライアントのIPやポー
[pc][node]nodeのパッケージマネージャnpmで旧バージョン指定しての
[pc][node]nodeでrequireされるパッケージで値の返し方
[pc][node]nodeでsocket.ioのv0.8.0だと日本語(UTF
[pc][node]nodeでsocket.ioのlogが多すぎて抑制したい場合
[pc]Twitter API謎仕様。取得したtweetの時刻のフォーマットがA
[pc][spam]SpamAssassinのscore指定の4つの数字の意味
[pc]emacsのjs2-modeでインデントの修正と「’」が「¥’」にクォー
[pc]magitというemacsのgitフロントエンドでpush出来ない問題の
[pc]javascriptでdeferrdを使ってコールバックをきれいに書く

最近の言及URL

1. 第24回勉強会 - 長野ソフトウェア技術者グループ NSEG
2. 大量のbotでTwitterのトレンドがひどいことに - Togetter
3. スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も
4. 携帯の契約者固有ID通知開始はどんな危険があるのか? - モーグルとカバとパウダ
5. 携帯の契約者固有IDを悪用した詐欺が予測された通りになりつつある - モーグルと
6. no title
7. SATOH Kiyoshi(@stealthinu)/2011年09月02日 -
8. なぜ「主人がオオアリクイに殺されて1年が過ぎました」なのか? - あんちべ!
9. ぷららモバイル|接続サービス|ぷらら
10. So-net モバイル 3G:概要 | 高速モバイル | インターネット接続 |
11. 「前回終了時のウィンドウとタブを表示する」に設定しても次回起動時に復元されないこ
12. 【最新版】iPhoneの標準カレンダーとGoogleカレンダー(複数アカウントも
13. WindowsからVMware上のLinuxへサーバ名で接続する - モーグルと
14. Hotmail の「グレーなメール」対策について - Windows 開発統括
15. twitterのスパム報告に思うコラボレーションフィルタの限界 - モーグルとカ
16. アニオタ偽装したtwitterスパム - モーグルとカバとパウダーの日記
17. 私のほしいもの
18. Twitter
19. Ucastation view page
20. Ucastation admin page

最近書いたコメント

1. 2012-01-30 id:stealthinu:20110627
2. 2011-12-21 id:stealthinu:20111220
3. 2011-12-21 id:stealthinu:20111220
4. 2011-12-21 id:stealthinu:20111220
5. 2011-12-21 id:stealthinu:20111220
6. 2011-12-21 id:stealthinu:20111220
7. 2011-11-30 id:hal_dynast:20111017
8. 2011-11-24 id:stealthinu:20111114
9. 2011-11-14 id:stealthinu:20111114
10. 2011-11-14 id:stealthinu:20111110

Google News

TrackBack People

TB先URL

モーグル

1. 里谷多英 画像・動画
2. 上村愛子 ブログ・画像・動画
3. バンクーバーオリンピック女子モーグル上村愛子の結果速報
4. 【モーグル】上村愛子、皆川賢太郎と同棲&熱愛発覚!モーグル界のアイドル、バンクーバー五輪直後に結婚か?居酒屋・焼肉店・ラーメン店など目撃情報多数!【画像動画有り】
5. 【モーグル】上村愛子、アルペン皆川賢太郎と結婚!バンクーバー五輪は夫婦で金メダル獲得?スキー界のアイドルも新妻に!2ch「最強DNA」「子供はスキーの申し子」【画像動画有り】
6. 愛子の季節。
7. モーグル上村2冠
8. 【世界選手権猪苗代大会】上村愛子、2冠達成!デュアルモーグルも制す!伊藤みきとの日本勢決勝対決で勝利!伊藤・西伸幸もバンクーバー五輪代表内定決定!【画像動画有り】
9. 【モーグル上村愛子】猪苗代世界選手権で初優勝!日本勢史上初の世界一!バンクーバー五輪代表内定第1号!4大会連続五輪出場で悲願の五輪金メダル成るか?【画像動画有り】
10. 【世界選手権猪苗代大会】全日本チーム会見!モーグル上村愛子・伊藤みきら抱負語る!表彰台でバンクーバー五輪代表内定なるか?【画像動画有り】
TB先URL

バックカントリー

1. 2012.02.04 : コルチナ
2. 再び西大巓
3. 西大巓
4. 若女平ツアー
5. 第二次偵察隊
6. 福島県某所テレツアー
7. 箕輪・迷沢ツアー
8. グランデコ〜二十日平
9. 2011.02.11 - 一ノ背髪BC
10. 明神ヶ岳
TB先URL

雪山レポート

1. 20110119ピラタス蓼科その4
2. 20110119ピラタス蓼科その3
3. 20110119ピラタス蓼科その2
4. 20110119ピラタス蓼科その1
5. ヨーロッパの子連れスキー事情:ゲレンデ編
6. フランスのスキー事情(ヨーロッパのスキー事情)
7. 山形のスキー場
8. 090408高鷲スノパ。その4
9. 090408高鷲スノパ。その3
10. 090408高鷲スノパ。その2

あわせて読みたい

あわせて読みたい

RSS feed meter for http://d.hatena.ne.jp/stealthinu/


ホームページ制作


ジオターゲティング

Technorati Profile