on dumb HOWTO copy-pasting

[netch80]

В связи с этим (как-то сия феерическая дискуссия прошла мимо меня) и рассказом про "тупые HOWTO с лиссяры" вспомнил разборки совсем недельной давности.
Есть один дружественный провайдер colocall.net, к которому я регулярно хожу в гости на рюмку чая, где работал K+1 год назад и где у меня есть шелл. В этот шелл регулярно попадают строки лога из ipfw, задалбывают.

Выжимка из диалога с сисадмином тазика.

Я: а это действительно надо чтобы на zeus сообщения о том, что его спрашивают по ntp, сыпались всем на экраны?
А: Там на таз идёт немерянный поток udp пакетов, в среднем 8000-10000 пакетов в секунду. Это не временно. Это давно и постоянно. Если ничего не делать, то на сервере невозможно работать - всё рывками. Поэтому у меня там сделано так: ipfw в лог пишет информацию обо всех udp пакетах на порт 123. И запущен скрипт, который добавляет в файрвол запрет для IP адресов, с которых пришло более 50 udp пакетов в минуту.
А: Вообще не понятно, откудя такая активность? Может это вирусня какая-то? Но что им нужно от ntp сервера?

О как. Стало интересно. Проверил по ntp.org. Такого нет. Тогда решил ввести hostname в поиск... и что я вижу? Сотни, нет, тысячи копипаст одной и той же хаутушки "как сделать время на сервере", в которую вбиты конкретные хосты без каких-то предупреждений типа "не пробуйте использовать это за пределами Киева".
Вбил его IP - то же самое. И таки где одна из первых копий? Ну конечно, на лиссяре.

(Адрес открыт в основном постинге, потому что он легко угадывался по смыслу и его таки обоснованно угадали в комментариях.)

Далее пошло обсуждение того, как надо это лечить. Я предлагал жёсткие меры разного уровня радикальности. Например, отдавать всем за пределами сети провайдера время 5-летней давности или, наоборот, 25 декабря 2012 года. Или чуть помягче, например, каждые сутки на секунду медленнее, чтобы постепенно накапливать эффект. Но тот админ, похоже, страдает чрезмерным гуманизмом, и эти меры не были приняты.

Вот вам и вред от таких хаутушек - 10K левых запросов в секунду совершенно непричастным.

Comments

[andy-scott.livejournal.com]

для IP адресов, с которых пришло более 50 udp пакетов в минуту

это что ж надо делать с бедным ntp демоном чтобы он столько пакетов раптом слал?

[netch80.livejournal.com]

А это не демоны. Это или толстая сетка за NAT, или сошедший с ума виндовый клиент, я такие наблюдал.

[crazy-daemon.livejournal.com]

Когда я работал в провайдинге я тоже по этому адресу синхронизировал время. :)

[crazy-daemon.livejournal.com]

Но количество ответов гугла по этому hostname — поразило моё воображение.

[andy-scott.livejournal.com]

Мне нравится идея убрать с этого IP осмысленный сервер, а на его место поставить какой-либо металлолом, который да будет кормить кого попало чем угодно. Хоть бы и просто нулем. Хотя админ в чем-то прав, получается как бы западло некое. Вообще нафиг зафильтровать этот IP по 123 порту ото всех, на кого не рассчитано, да и дело с концом. Ну типа "она утонула".

[netch80.livejournal.com]

Вот мне кажется это недостаточным: оно будет продолжать числиться в конфигах у каждого, у кого упомянут ещё хотя бы один сервер. Лететь на одном моторе вместо двух такое может годами.

А вот если они начнут говорить заведомо несогласованное время и регулярно будет начинаться полная чушь - поругают в ламерских форумах, иногда громко, пришлют матерные письма, но перестанут использовать. Что и требуется.

Это проходилось уже надцать раз на примере умирающих dnsbl: ничего кроме посылки заведомой чуши - не помогает.

[tzirechnoy.livejournal.com]

А этот hostname очень важэн для хостера? А то, можэт, перенаправить его так или иначе на pool.ntp.org?

[andy-scott.livejournal.com]

Да, логично.

[netch80.livejournal.com]

Ну в качестве аварийного решения таки да, но ещё есть имя ntp.$hoster, используемое клиентами, а строить разную отдачу DNS в зависимости от source IP в этих условиях чревато сильными граблями.

[dadv.livejournal.com]

Так все верно. Но пара замечаний:

1. 10Kpps это не нагрузка сама по себе, если они ненужные и отфильтрованы.
2. "ничего кроме посылки заведомой чуши - не помогает" - посылка заведомой чуши тоже не шибко-то помогает. Поэтому фильтровать, а если и этого недостаточно, то менять hostname/ip - биться против роя фактически невозможно, точнее требует сверхрадикальной меры - убрать анонс адреса из BGP или хотя бы зароутить его в Null0 на аплинке.

[netch80.livejournal.com]

> 1. 10Kpps это не нагрузка сама по себе, если они ненужные и отфильтрованы.

Увы, он на них старается отвечать, и по любому пишет в лог. А это дофига.

> 2. "ничего кроме посылки заведомой чуши - не помогает" - посылка заведомой чуши тоже не шибко-то помогает. Поэтому фильтровать,

Фильтрация и чушь друг другу не мешают. Например, prob 0.9 drop..., а если таки пробился - отдавать чушь. Но режимы менять регулярно.

> а если и этого недостаточно, то менять hostname/ip - биться против роя фактически невозможно, точнее требует сверхрадикальной меры - убрать анонс адреса из BGP или хотя бы зароутить его в Null0 на аплинке.

Так в этом и был исходный посыл - что из-за *удаков приходится менять IP и издеваться над сетью.

[w00dy.livejournal.com]

А чего они не разнесут этот ze**.cococo.net и ntp.cococo.net? У них жеж там и места в гермозоне много, и личные самопальные блейды есть, и админши с класными сиськами

[netch80.livejournal.com]

Я думаю, скоро разнесут (раз пошло внятное обсуждение вопроса и есть понимание проблемы), но где-то 1/3 нагрузки, которая на собственный hostname таза, сдвинется вместе с этим переездом и её всё равно придётся гасить теми же методами. И вообще, ставить отдельный сервак для обслуживания нагрузки, которая не предполагалась, не анонсировалась, за которую не платят - а смысл?

(да, угадал. первый пирожок уезжает телезрителю)

[nivanych.livejournal.com]

Поучительно, спасибо.

[anatoly borodin (from livejournal.com)]

Тю, чего тут угадывать, там их только 2 таких :) Сам грешен, лично на двух машинах, находящихся в Берлине, прописал по старой привычке (в форме n*). Рекоммендуете вынести?

[dadv.livejournal.com]

> Увы, он на них старается отвечать, и по любому пишет в лог. А это дофига.

Только если пакетный фильтр их не отфильтровал раньше.

> Фильтрация и чушь друг другу не мешают. Например, prob 0.9 drop..., а если таки пробился - отдавать чушь. Но режимы менять регулярно.

При фильтрации чушь не нужна. Зафильтровать 10kpps не проблема.

> из-за *удаков приходится менять IP и издеваться над сетью.

Это наша родина^U Это Интернет.

[netch80.livejournal.com]

Наверно, да. Если не будут давать конец света, то зафильтруют.
Уж в Берлине-то наверняка есть что-то ближе из de.pool.ntp.org

[anatoly borodin (from livejournal.com)]

Ну да, в Украине это было актуальнее, а сейчас я их держу больше для статистики. Всё равно чемпионы почти всегда ptbtime[123].ptb.de.

Из одного конфига уже вынес, прийду домой — вынесу с ноута.

[anatoly borodin (from livejournal.com)]

Есть ещё одна гипотеза: народ копипейстит конфиги с серваков, которые находятся/находились у этого самого хостера.

[w00dy.livejournal.com]

В мире много безсмысленных вещей. Но если компании не сложно и особо не мешает - то почему бы и нет

> (да, угадал. первый пирожок уезжает телезрителю)

я ж тоже туда не один раз на рюмку чая заходил ;)

[w00dy.livejournal.com]

с серваков мало кто копирует, т.к. мало кто даёт ssh (всякие cpanel цветут и пахнут на shared hosting). Так что хаутушки с лисяры это самая правильная гипотеза.

[dmarck.livejournal.com]

... к вопросу о том, что в хауту надо писать service.example.org...

[furry.livejournal.com]

и 192.0.2.1 ;)

[furry.livejournal.com]

Ну пусть сделают доброе дело для общественности и выделят эту машину под public NTP server ;)

[anatoly borodin (from livejournal.com)]

Я имел в виду админов этих самых тазиков, уж у них-то ssh есть.