自分のサイトに、今日の昼からずっと不審なアクセスがあります。

そのアクセス状況のグラフが以下。
http://www001.upp.so-net.ne.jp/wakan/graph1.png
次のような内容の http リクエストを、一秒間に一回の割で繰り返しているのです。

アクセス日時 / 解析No / IP / 解像度X: / 解像度Y: / 色深度(bit) / Javascript ON or OFF / OS・端末・ブラウザ情報
2005-02-17 22:31:52 / No.25 / IP:221.191.111.132 / X:---- / Y:---- / Col:--bit / JS:OFF / Mozilla/4.0 (compatible; MSIE 6.0; Win32)

ブラウザとして Mozilla/4.0 と名のっているのは偽装で、何らかのツールでアクセス
を繰り返しているのだと思います。

開始時刻 2005-04-01 13:37:57
終了時刻 2005-02-01 17:08:55
IPアドレス 221.191.111.132 (ocn.ne.jp)

開始時刻 2005-04-01 17:45:58
終了時刻 2005-02-01 (継続中)
IPアドレス 220.211.31.152 (so-net.ne.jp)

コレは一体なんなのでしょうか?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:
  • 終了:--
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答10件)

id:tpichu No.1

回答回数304ベストアンサー獲得回数1

ポイント5pt

えっと、開始と終了が矛盾していますが・・・。

4月ということですね?


ツール(詳しくはわかりませんが)で攻撃されているかもしれません。

負荷を大きくする目的だと思います。

該当IPアドレスを制限してみると少しは軽減するかもしれません・・・。

id:wakan

ハイ、あわてていて日付を間違えました。終了時刻も 04-01 です。

攻撃かなぁ? とは思いましたが、一秒間に一回だけではそんなに負荷が

かからないと思うし……だから不思議なんです。

実は、この不審なアクセスは今回だけではないんです。以前に何度かありました。

……まだアクセスが続いているなぁ。

2005/04/01 20:58:40
id:webber1 No.2

回答回数254ベストアンサー獲得回数0

http://www.arearesearch.co.jp/ip-kekka.php

IPアドレスによる地域認識のサイバーエリアリサーチ

IPアドレス 221.191.111.132 (ocn.ne.jp)

正体

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 221.191.0.0/16

b. [ネットワーク名] OCN

f. [組織名] オープンコンピュータネットワーク

g. [Organization] Open Computer Network

m. [管理者連絡窓口] AY1361JP

n. [技術連絡担当者] MO081JP

n. [技術連絡担当者] KK551JP

n. [技術連絡担当者] IM657JP

p. [ネームサーバ] ns-kg001.ocn.ad.jp

p. [ネームサーバ] ns-kn001.ocn.ad.jp

[割当年月日] 2003/09/05

[返却年月日]

[最終更新] 2003/09/05 11:53:18(JST)


上位情報

----------

エヌ・ティ・ティ・コミュニケーションズ株式会社 (NTT COMMUNICATIONS CORPORATION)

[割り振り] 221.184.0.0/13


IPアドレス 220.211.31.152 (so-net.ne.jp)

正体

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 220.211.0.0/19

b. [ネットワーク名] SO-NET

f. [組織名] SO-Net サービス

g. [Organization] SO-Net Service

m. [管理者連絡窓口] MK2734JP

n. [技術連絡担当者] SW314JP

n. [技術連絡担当者] YO078JP

p. [ネームサーバ] dnss3.so-net.ne.jp

p. [ネームサーバ] dnss4.so-net.ne.jp

p. [ネームサーバ] dnss5.so-net.ne.jp

p. [ネームサーバ] dnss6.so-net.ne.jp

p. [ネームサーバ] dnss7.so-net.ne.jp

[割当年月日] 2003/05/02

[返却年月日]

[最終更新] 2004/10/13 10:18:03(JST)


上位情報

----------

ソニーコミュニケーションネットワーク株式会社 (Sony Communication Network Corporation)

[割り振り] 220.211.0.0/16

id:wakan

whois ぐらい知っとるわい。調べたから、アクセス元が書いてあるでしょ。

僕の聞きたいのは何のために http リクエストを毎秒飛ばしているのかって

ことなんですよ。

2005/04/01 22:43:05
id:ssig33 No.3

回答回数217ベストアンサー獲得回数1

ポイント10pt

超田代砲による微妙な嫌がらせではないでしょうか。

これだと1秒に1回みたいなこともできますし、

javascriptなのでUAはIEになりますし。

id:wakan

田代砲……名前だけは聞いたことあるけど、ヘェ、コレがそうなのか。

でも、今回の場合は javascript ではないですよ。Javascript が OFF

になっているのはわかってますし、ブラウザ名も「Win32」しかついて

ないから偽造っぽいし。

しかし、こういうコトして何が面白いんだろう?

……まだアクセスが続いているなぁ。

2005/04/01 22:52:26
id:tarou-af No.4

回答回数4ベストアンサー獲得回数0

ポイント10pt

http://nucleus.datoka.jp/?itemid=764

リファラースパム 対策 - Nucleusだとか

最近流行っているリファラースパムではないでしょうか?

……リファラーが付いていないとしたら、的外れもいいとこですが。

id:wakan

へー、こんなスパムもあるんだ。「はてな」ってけっこう勉強になるなぁ。

当面かかえている問題の解決にはならない回答も多いけど……(^_^;

残念ながら、ウチのはブログじゃないです。シコシコとhtmlを手作り

している、ぢみなサイトです。htmllint とか アクセシビリティとか

変な所にコダワルし。

一日に同一ページへ3万回もアクセスするリファラースパムなんてあるとは

思えませんねぇ、ハイ。

ウチのサイトの一日間アクセス数最高記録の 16820 を更新してしまったよ。

しかも、まだアクセスが続いているし。

あ、この過去のアクセス数最高は、「Google八分の確認と対応の方法」

へのものです。

2005/04/02 00:46:01
id:googlehack No.5

回答回数43ベストアンサー獲得回数1

ポイント5pt

サイトのトップページだけにアクセスしているのか、サイト全体にアクセスしているのかわかんないですが、なんなんすかね。

転送量超過とか狙ってるんでしょうかね?わからんです。。。


時期的に見るとGoogle絡みかな?

今、xreaのサーバの一部がGoogle八分にされているみたいですし。某巨大掲示板でも騒いでるけど。


よくわかんないっす。どのファイルに対してアクセスがきてるんでしょうか。

ライバルサイトの嫌がらせかな?転送量超過とか・・・

そのくらいですかね。。。

id:wakan

トップページでもサイト全体でもないです。

単一ページへのアクセスなんです。前回あった不審なアクセスの時は、

別なページへのアクセスでしたので、特定のコンテンツにこだわって

いるわけでもなさそう。

ライバルサイト……こっちは意識してないけど、相手が勝手に意識する分には、

たくさんいそうだな……(苦笑)

「手話コーラス」でケンカ売ってるし。Google で検索すれば、事情がわかります。

2005/04/02 00:56:33
id:medical_blog No.6

回答回数16ベストアンサー獲得回数0

ポイント5pt

当該アクセス時の httpdのaccess_logかerror_logはありませんか? どういった内容でコネクトしているのかわからないとちょっと答えようがありません。

id:wakan

ハイな、そーゆんのはありません。

So-net のユーザ用のウェブサービスをそのまま使ってますから。

そこにアクセス解析を入れているので、不審なアクセスがあると

わかった次第です。

2005/04/02 01:00:03
id:rsntgdeh No.7

回答回数28ベストアンサー獲得回数0

ただカウンタを回したかっただけなのか、

キリ番を取りたいために、更新を連打していた。ということは考えられませんか?

id:wakan

カウンタ表示してないから、それは無い!!

そもそも、キリ番取るために一日に三万回も回すか!?

------------------------------------------------

やっと止まったよ。アクセスグラフは次の通り。

http://www001.upp.so-net.ne.jp/wakan/graph2.png

開始時刻 2005-04-01 13:37:57

終了時刻 2005-04-01 17:08:55

この間に9428件のアクセス。

IPアドレス 221.191.111.132 (p3132-ipbf503marunouchi.tokyo.ocn.ne.jp)

開始時刻 2005-04-01 17:45:58

終了時刻 2005-04-02 03:48:42

この間に2万件以上のアクセス。

IPアドレス 220.211.31.152 (pd31f98.tokynt01.ap.so-net.ne.jp)

うーん、相手は東京都丸の内近辺にいるのか。

あの辺からだと、会社からのアクセスである可能性が高いんだが、

何かの業務に関係あるんだろうか、コレ。

ハッ、もしかして Inktomi のまわし者!?

Inktomi にとってヤバイ情報をばらされた報復?

http://webmaster.hatena.ne.jp/1112169847

2005/04/02 10:11:12
id:tpichu No.8

回答回数304ベストアンサー獲得回数1

ポイント10pt

やはり、先ほどの回答にもあります「田代砲」などのツールが原因というのが可能性としては高いと思います。

1秒単位の攻撃も可能だったはずですし。

他にも、wgetとかw3m(?)などのツールでTOPを見るというコマンドをタスクで1秒単位で実行とかは可能です。


もうひとつ可能性を考えてみました。

コンピュータウィルス(もとい、ワームとかトロイとか)です。

ただ、個人のサイトをターゲットにするプログラムがあるかどうかですね。

id:wakan

そうですね。何かのツールを使っているっぽいですね。

他に類似のケースがあるかも、と思って質問したけど、なさそうですね。

何かの深刻な攻撃だとしたら、対策をとらなきゃいけないところだけど、

今のところそんなに実害はでてないし、何かのイヤガラセ的行為、という

のが一番ありそうな線だと思う。

もうしばらく待ってみて、何か重大な問題があるとかいった指摘が出て

こなければ、閉めることにします。

2005/04/02 11:59:31
id:kazumichi No.9

回答回数14ベストアンサー獲得回数2

ポイント50pt

メールアドレスの収集、迷惑メールの送信、掲示板への広告書き込み、等を行う「スパムボット」である可能性が高いと思います。

対策は、「htaccessによるIP規制」と「サイトに載せてあるwakan様のメールアドレスを画像等に変更することによる自衛」くらいでしょうか。

単一htmlファイルが集中アクセスの対象になった件は、そのURIが掲示板であるとボット側が勘違いしたのか、ただ単にロボットの頭が弱いだけなのかの二者択一だと思いますが、こんな弱いロボットでも業者側は利益が出るんでしょうね。

id:wakan

なるほど、サイトが迷惑メール業者のマシンと一致してますね。

悪質業者によるアクセスである可能性が高そうだとわかったのは収穫です。

2005/04/03 12:17:33
id:googlehack No.10

回答回数43ベストアンサー獲得回数1

ポイント50pt

>うーん、相手は東京都丸の内近辺にいるのか。

>あの辺からだと、会社からのアクセスである可能性が高いんだが、


あらら、場所がそこまで確定出来るなら話は確定的じゃないっすかね。

丸の内だったらネカフェからの広義でのスパム・嫌がらせ行為って可能性も。

でも、それだと会社レベルで行っている程高度なモノとは思えないけど。。


ま、嫌がらせの一種ではあるでしょう。個人レベルでの嫌がらせかもしれんです。

該当ファイルを削除して、どっかのサイトにリダイレクトするように処置を取るとか、一時的対策は取られましたか?

ブラクラのページへ一時的にリダイレクトさせて相手の反応を少し見たり・・・

.htaccess使えるならオウム返し(だっけ?ミケネコさんで解説してたような)やってみるとか


(この発言に対するポイントは別にいらないです)

(ライバルサイトの件、知ってました。)


余談

(まあ、ブログが流行してる世の中ですから、SEOスパムスレスレの行為をやれば05年1月時点でページランク4や5で・特定キーワード一語でSEOをしているサイトを、数日で抜き去る事が出来ます。というか先月3つのジャンルでGoogle・MSN・YST全てで実践済。)

(ハイテクだなあと実感する世界ですよね。SEOは。しかしGoogleのアルゴだけが、未だに安心出来ません。ううむ。^^;)

id:wakan

やんだと思ったら、また再発しました。今は止まってるみたいですが……

そのアクセスグラフです。

http://www001.upp.so-net.ne.jp/wakan/graph3.png

まだ続くようなら、言われたような対応方法を検討してみます。

まあ、長時間続くようなので、プロバイダに通報するのが確実かもね。

やっている最中にアクセス元をつかんでもらってプロバイダから注意

してもらうとか、プロバイダで一時切断するとかできそうだし。

この辺で締め切りたいと思います。アドバイスありがとうございました。

2005/04/03 12:26:13

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

  • 超田代砲?(By.トモ) 超田代砲?(By.トモ) 2006-03-13 16:12:52
    ネットをふらふらしていると、いろんな質問や回答とかを目にします。 いわゆる質疑応答をネット上で公開しているサイトとかですね(まんまですね〜)。 雑学からサイバー系までいろい
  • 裏旅人徒然草 裏旅人徒然草 2006-03-13 16:12:53
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません