そのアクセス状況のグラフが以下。
http://www001.upp.so-net.ne.jp/wakan/graph1.png
次のような内容の http リクエストを、一秒間に一回の割で繰り返しているのです。
アクセス日時 / 解析No / IP / 解像度X: / 解像度Y: / 色深度(bit) / Javascript ON or OFF / OS・端末・ブラウザ情報
2005-02-17 22:31:52 / No.25 / IP:221.191.111.132 / X:---- / Y:---- / Col:--bit / JS:OFF / Mozilla/4.0 (compatible; MSIE 6.0; Win32)
ブラウザとして Mozilla/4.0 と名のっているのは偽装で、何らかのツールでアクセス
を繰り返しているのだと思います。
開始時刻 2005-04-01 13:37:57
終了時刻 2005-02-01 17:08:55
IPアドレス 221.191.111.132 (ocn.ne.jp)
開始時刻 2005-04-01 17:45:58
終了時刻 2005-02-01 (継続中)
IPアドレス 220.211.31.152 (so-net.ne.jp)
コレは一体なんなのでしょうか?
えっと、開始と終了が矛盾していますが・・・。
4月ということですね?
ツール(詳しくはわかりませんが)で攻撃されているかもしれません。
負荷を大きくする目的だと思います。
該当IPアドレスを制限してみると少しは軽減するかもしれません・・・。
http://www.arearesearch.co.jp/ip-kekka.php
IPアドレスによる地域認識のサイバーエリアリサーチ
IPアドレス 221.191.111.132 (ocn.ne.jp)
正体
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 221.191.0.0/16
b. [ネットワーク名] OCN
f. [組織名] オープンコンピュータネットワーク
g. [Organization] Open Computer Network
m. [管理者連絡窓口] AY1361JP
n. [技術連絡担当者] MO081JP
n. [技術連絡担当者] KK551JP
n. [技術連絡担当者] IM657JP
p. [ネームサーバ] ns-kg001.ocn.ad.jp
p. [ネームサーバ] ns-kn001.ocn.ad.jp
[割当年月日] 2003/09/05
[返却年月日]
[最終更新] 2003/09/05 11:53:18(JST)
上位情報
----------
エヌ・ティ・ティ・コミュニケーションズ株式会社 (NTT COMMUNICATIONS CORPORATION)
[割り振り] 221.184.0.0/13
IPアドレス 220.211.31.152 (so-net.ne.jp)
正体
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 220.211.0.0/19
b. [ネットワーク名] SO-NET
f. [組織名] SO-Net サービス
g. [Organization] SO-Net Service
m. [管理者連絡窓口] MK2734JP
n. [技術連絡担当者] SW314JP
n. [技術連絡担当者] YO078JP
p. [ネームサーバ] dnss3.so-net.ne.jp
p. [ネームサーバ] dnss4.so-net.ne.jp
p. [ネームサーバ] dnss5.so-net.ne.jp
p. [ネームサーバ] dnss6.so-net.ne.jp
p. [ネームサーバ] dnss7.so-net.ne.jp
[割当年月日] 2003/05/02
[返却年月日]
[最終更新] 2004/10/13 10:18:03(JST)
上位情報
----------
ソニーコミュニケーションネットワーク株式会社 (Sony Communication Network Corporation)
[割り振り] 220.211.0.0/16
whois ぐらい知っとるわい。調べたから、アクセス元が書いてあるでしょ。
僕の聞きたいのは何のために http リクエストを毎秒飛ばしているのかって
ことなんですよ。
超田代砲による微妙な嫌がらせではないでしょうか。
これだと1秒に1回みたいなこともできますし、
javascriptなのでUAはIEになりますし。
田代砲……名前だけは聞いたことあるけど、ヘェ、コレがそうなのか。
でも、今回の場合は javascript ではないですよ。Javascript が OFF
になっているのはわかってますし、ブラウザ名も「Win32」しかついて
ないから偽造っぽいし。
しかし、こういうコトして何が面白いんだろう?
……まだアクセスが続いているなぁ。
http://nucleus.datoka.jp/?itemid=764
リファラースパム 対策 - Nucleusだとか
最近流行っているリファラースパムではないでしょうか?
……リファラーが付いていないとしたら、的外れもいいとこですが。
へー、こんなスパムもあるんだ。「はてな」ってけっこう勉強になるなぁ。
当面かかえている問題の解決にはならない回答も多いけど……(^_^;
残念ながら、ウチのはブログじゃないです。シコシコとhtmlを手作り
している、ぢみなサイトです。htmllint とか アクセシビリティとか
変な所にコダワルし。
一日に同一ページへ3万回もアクセスするリファラースパムなんてあるとは
思えませんねぇ、ハイ。
ウチのサイトの一日間アクセス数最高記録の 16820 を更新してしまったよ。
しかも、まだアクセスが続いているし。
あ、この過去のアクセス数最高は、「Google八分の確認と対応の方法」
へのものです。
サイトのトップページだけにアクセスしているのか、サイト全体にアクセスしているのかわかんないですが、なんなんすかね。
転送量超過とか狙ってるんでしょうかね?わからんです。。。
時期的に見るとGoogle絡みかな?
今、xreaのサーバの一部がGoogle八分にされているみたいですし。某巨大掲示板でも騒いでるけど。
よくわかんないっす。どのファイルに対してアクセスがきてるんでしょうか。
ライバルサイトの嫌がらせかな?転送量超過とか・・・
そのくらいですかね。。。
トップページでもサイト全体でもないです。
単一ページへのアクセスなんです。前回あった不審なアクセスの時は、
別なページへのアクセスでしたので、特定のコンテンツにこだわって
いるわけでもなさそう。
ライバルサイト……こっちは意識してないけど、相手が勝手に意識する分には、
たくさんいそうだな……(苦笑)
「手話コーラス」でケンカ売ってるし。Google で検索すれば、事情がわかります。
当該アクセス時の httpdのaccess_logかerror_logはありませんか? どういった内容でコネクトしているのかわからないとちょっと答えようがありません。
ハイな、そーゆんのはありません。
So-net のユーザ用のウェブサービスをそのまま使ってますから。
そこにアクセス解析を入れているので、不審なアクセスがあると
わかった次第です。
ただカウンタを回したかっただけなのか、
キリ番を取りたいために、更新を連打していた。ということは考えられませんか?
カウンタ表示してないから、それは無い!!
そもそも、キリ番取るために一日に三万回も回すか!?
------------------------------------------------
やっと止まったよ。アクセスグラフは次の通り。
http://www001.upp.so-net.ne.jp/wakan/graph2.png
開始時刻 2005-04-01 13:37:57
終了時刻 2005-04-01 17:08:55
この間に9428件のアクセス。
IPアドレス 221.191.111.132 (p3132-ipbf503marunouchi.tokyo.ocn.ne.jp)
開始時刻 2005-04-01 17:45:58
終了時刻 2005-04-02 03:48:42
この間に2万件以上のアクセス。
IPアドレス 220.211.31.152 (pd31f98.tokynt01.ap.so-net.ne.jp)
うーん、相手は東京都丸の内近辺にいるのか。
あの辺からだと、会社からのアクセスである可能性が高いんだが、
何かの業務に関係あるんだろうか、コレ。
ハッ、もしかして Inktomi のまわし者!?
Inktomi にとってヤバイ情報をばらされた報復?
やはり、先ほどの回答にもあります「田代砲」などのツールが原因というのが可能性としては高いと思います。
1秒単位の攻撃も可能だったはずですし。
他にも、wgetとかw3m(?)などのツールでTOPを見るというコマンドをタスクで1秒単位で実行とかは可能です。
もうひとつ可能性を考えてみました。
コンピュータウィルス(もとい、ワームとかトロイとか)です。
ただ、個人のサイトをターゲットにするプログラムがあるかどうかですね。
そうですね。何かのツールを使っているっぽいですね。
他に類似のケースがあるかも、と思って質問したけど、なさそうですね。
何かの深刻な攻撃だとしたら、対策をとらなきゃいけないところだけど、
今のところそんなに実害はでてないし、何かのイヤガラセ的行為、という
のが一番ありそうな線だと思う。
もうしばらく待ってみて、何か重大な問題があるとかいった指摘が出て
こなければ、閉めることにします。
メールアドレスの収集、迷惑メールの送信、掲示板への広告書き込み、等を行う「スパムボット」である可能性が高いと思います。
対策は、「htaccessによるIP規制」と「サイトに載せてあるwakan様のメールアドレスを画像等に変更することによる自衛」くらいでしょうか。
単一htmlファイルが集中アクセスの対象になった件は、そのURIが掲示板であるとボット側が勘違いしたのか、ただ単にロボットの頭が弱いだけなのかの二者択一だと思いますが、こんな弱いロボットでも業者側は利益が出るんでしょうね。
なるほど、サイトが迷惑メール業者のマシンと一致してますね。
悪質業者によるアクセスである可能性が高そうだとわかったのは収穫です。
>うーん、相手は東京都丸の内近辺にいるのか。
>あの辺からだと、会社からのアクセスである可能性が高いんだが、
あらら、場所がそこまで確定出来るなら話は確定的じゃないっすかね。
丸の内だったらネカフェからの広義でのスパム・嫌がらせ行為って可能性も。
でも、それだと会社レベルで行っている程高度なモノとは思えないけど。。
ま、嫌がらせの一種ではあるでしょう。個人レベルでの嫌がらせかもしれんです。
該当ファイルを削除して、どっかのサイトにリダイレクトするように処置を取るとか、一時的対策は取られましたか?
ブラクラのページへ一時的にリダイレクトさせて相手の反応を少し見たり・・・
.htaccess使えるならオウム返し(だっけ?ミケネコさんで解説してたような)やってみるとか
(この発言に対するポイントは別にいらないです)
(ライバルサイトの件、知ってました。)
余談
(まあ、ブログが流行してる世の中ですから、SEOスパムスレスレの行為をやれば05年1月時点でページランク4や5で・特定キーワード一語でSEOをしているサイトを、数日で抜き去る事が出来ます。というか先月3つのジャンルでGoogle・MSN・YST全てで実践済。)
(ハイテクだなあと実感する世界ですよね。SEOは。しかしGoogleのアルゴだけが、未だに安心出来ません。ううむ。^^;)
やんだと思ったら、また再発しました。今は止まってるみたいですが……
そのアクセスグラフです。
http://www001.upp.so-net.ne.jp/wakan/graph3.png
まだ続くようなら、言われたような対応方法を検討してみます。
まあ、長時間続くようなので、プロバイダに通報するのが確実かもね。
やっている最中にアクセス元をつかんでもらってプロバイダから注意
してもらうとか、プロバイダで一時切断するとかできそうだし。
この辺で締め切りたいと思います。アドバイスありがとうございました。
ハイ、あわてていて日付を間違えました。終了時刻も 04-01 です。
攻撃かなぁ? とは思いましたが、一秒間に一回だけではそんなに負荷が
かからないと思うし……だから不思議なんです。
実は、この不審なアクセスは今回だけではないんです。以前に何度かありました。
……まだアクセスが続いているなぁ。