NP_cles()

12345678910111213141516171819202122232425262728293031

DNSBLのみなおし中

 
投稿者:hsur 投稿日時:2006-05-16 - 22:17
カテゴリー:Nucleus Tips - / - トラックバック(0)- Views: 120

最近またトラックバックスパムが多くなってきたので、「プラグイン入れてみました!」みたいなspamでないトラックバックが来ると本当に心が和むような状況です

でも、僕も決して指をくわえて静観しているわけではなく、常にいろいろな対策を施すことによって事が大きくなる前に難を逃れているわけですが、これを仕組みとしてある程度Nucleusのユーザの方に還元できないかと考えています。

そのひとつがNP_Blacklist jpなわけですが、その防御力をさらに高めるべく、どのようなDNSBLを参照させたら効果的なのかということをいろいろと調査してみました。

BBS/コメント/トラックバックspamその後

niku.2ch.netは2ちゃんねるの公開Proxyからの投稿禁止に使われているRBLだそうです。 この設定で1日運用してみたらあれあれ、すごい数が捕まり拒絶しています。
Apr 18 00:37:03 からApr 18 07:37:11までの7時間の拒絶記録(153回)がその結果です。(たまたま集中していたものであってこれ以降は数時間全く来ていません)
とりあえず今回の攻撃に対しては阻止率100%でした。

いろいろと調べてみると2chで使われているniku.2ch.netがなかなかの検出率であるという評判だったので、ちょっとNP_Blacklistに仕込んで調査中するよていです。わざとipfilterや.htaccessの制限を緩めたので、どの程度防げるかは数日で結果が出るものと思われます。

結果がよければ次回リリースより標準設定しているDNSBLを変更しようと思います。また、一般的なspamキーワード(porker、pornなど)はあらかじめユーザーのブラックリストに定義済みにしてリリースしようかとも考えています。

さらにNP_Trackbackにも改造を

spamトラックバックを打つには相手先のトラックバックURLが必要となるわけですが、これをspamerがどうやって収集しているのかということを考えてみます。到底人力で収集しているとは思えないので、何らかのrobotがエントリのHTMLからTrackback Auto Discoveryを利用して収集活動を行っているものと推測されます。

この性質を利用して、NP_Blacklistに引っかかるipからのアクセスの際にはTrackback Auto Discovery用のRDFコードを吐かないようにしてみました。

さらに、Trackback Auto Discoveryに出力されるURLに細工を施し、アクセス元とタイムスタンプが分かるようにしました。こうすることでTrackback Auto Discovery経由とそうでないものの区別がつくようになります。さて、どれくらい釣れるでしょうか。

これらの対策にそれなりに効果が上がるようであればNP_Trackbackへの採用も考えようと思っています。

    このエントリは役に立ちましたか?

         

    トラックバックについて [policy]

    Trackback URL:
    Trackbacks
    このエントリにトラックバックはありません

    Comments [policy]

    まみお wrote:

    NP_Blacklistに引っかかるipからのアクセスの際にはTrackback Auto Discovery用のRDFコードを吐かないように

    わ。頭イイ!すごいすごい!
    釣れ具合レポが楽しみですー。

    2006-05-19 14:59  

    hsur wrote:

    試し始めて数日ですが、さっそく釣れたところもけっこうありますよー。

    あと、niku.2ch.netはウワサどおりの威力でかなり信頼できそうなので標準採用決定かなとか。。。。。。。

    2006-05-20 12:30  

    yama wrote:

    最近スパムすごいですね。
    f-boardなんかサポートサイトがつぶれてしまったくらいで。
    僕のサイトでも何ヶ所か涌いてますが。
    試すのが楽しみですらあります。笑

    2006-05-22 17:59  

    藤咲 wrote:

    まみおさんのところでspam判定されて書き込めなくなったんですが、こちらでも一緒だったらどうしようとコメントしてみます。

    f-boardつぶれちゃったんですか…と見てみたら、掲示板どころかPHP-J自体がやめてしまったんですね…。f-boardは結構好きだったのに惜しいですね。

    2006-05-23 00:18  

    hsur wrote:

    誤爆ですか?なにかNGワードにあたってしまったのか、それともIPアドレスですかね。
    # IPアドレスはhttp://www.rbl.jp/check_tbs...で一括で調べることができます。

    言われてみてみたら本当にPHP-Jがないんですね。驚きました。方々調べたつもりなんですが、どういう経緯でPHP-Jがなくなったのかというのも良く分からずじまいなのがさらに残念です。

    2006-05-23 00:31  

    まみお wrote:

    まみおさんのところでspam判定されて

    すいません...。なんでだろ?

    PHP-J閉鎖とは驚きました。

    でも、スパム対策でコメント受付にこうやって支障が出てくるのって本当にイヤです!

    2006-05-23 09:00  

    まみお wrote:

    人の記事ですいません。

    まみおさんのところでspam判定されて

    原因わかりました。
    url入れましたよね?自分のコメントはねられて気付きましたorz
    修正しておきました

    2006-05-23 15:51  

    hsur wrote:

    # あ、きにしないでください。
    # うちはまみおさんちの庭みたいなもんですから。。。。

    2006-05-23 16:23  

    まみお wrote:

    ....orz

    まみおさんちには不釣り合いなほどよくできた庭です。

    2006-05-23 21:21  

    Add Comments

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン