VOXY, セキュリティ

ホーネット300Vに液晶アンサーバックリモコン追加(構想)

8件のコメント

題名の通りセキュリティ ホーネット300Vに液晶アンサーバックリモコンを追加しようという構想です。

Viper330VとHornet300Vは、機能が類似した姉妹製品ですが
共にリモコンやアンテナの設定がありません。
しかしViper330VにはViper5002のアンサーバックリモコンが登録可能な模様。
もちろんアンテナも本体に接続可能との事。
アンサーバックが必要なければViper1002のリモコンも可能との事。
もしかすると液晶が必要なければViper3002のLEDアンサーバックリモコンも可能?

Viper330Vの英語版InstallationGuideを見る限りでは、リモコンの接続先はnot usedになっており、当然ながらリモコンの登録方法も記載されていません。
しかしViper330Vに追加出来ると書いてある販売店のHPを見つけました。
※ちなみに新型のViper3300Vであれば330V+5002のリモコン+リモコンによる各種設定が出来ます。
 Viper330Vにリモコンを追加しても、ON/OFFやアンサーバックは可能ですが、リモコンでの各種センサー感度設定は出来ません。
 振動センサーOFFでセキュリティONは可能なようです。
 タワー駐車場に止める方だと、バレットスイッチを使わなくていいので便利な機能です。
 (私の場合だとヴォクシーなのでタワー型に止めること自体が皆無ですが)

Hornet300Vの取り付け説明書は、加藤電気の日本語版は持っているのですが
英語版でダウンロード出来るものを見つけることが出来ませんでした。
そこで他のHornetやViperのInstallationGuideを片っ端からダウンロードして
リモコンの登録方法などを確認してみました。
するとリモコンの登録方法は基本的に同じ手順であることが分かりました。

ということはHornet300Vにアンテナの端子があれば接続可能では?と考えました。
日本語の取り付け説明書にはアンテナ端子の記載は全くありません。
(not usedはもちろん端子自体のの記載すらありません)
300Vは既に車両に取り付け状態なので、内装を取り外し本体の端子を確認してみました。
するとViper330Vと同じ位置にアンテナの端子があるではないですか!
流石にカバーを開けて端子が基盤と接続されているかの確認までは出来ませんでしたが
Vipper330Vが接続可能であることを考えるとHornet300Vでも可能ではないかと思います。
(BitWriterでリモコン登録自体をTransmitter programming LOCKEDに出来るのでメーカーがロックしてるとBitWriterまで必要になります)
ちなみにドアロック用の3本ハーネス用コネクターもあったので、繋げば使える気がするのですが・・・
(Hornet330Vには当然ながらドアロック用配線は同梱されていません)

しかしViper5002のアンテナとリモコン1個のセットが18,000円・・・
(YahooStoreだと5002セット新品が15,000円ちょっとなのでセット買った方が安い)
アンサーバックの為だけに払うかどうか、非常に悩むところです(笑)
(しかも動作確認が取れているわけではないので、人柱覚悟での購入になります)
オークションなどで安い中古でも出品されたら狙ってみようかと思っています。

最悪動かなくても5,000円台でViper330Vが買えるので、配線はそのままに本体のみ入れ替えという手もありますが。

☆時間が取れた時にでも、リモコン追加モードとメニュー2の設定に入れるか、試してみようと思っています。
(音が出るので昼間しか無理です・・・)
もし設定ドに入れれば、使える可能性は非常jに高いと思います。

2010/02/12追記
試しにリモコン追加モードとメニュー2を試してみました。
リモコン追加はアンテナが繋がっていないからなのか全く反応なし。
後日、英語版のViper5002のInstallationGuideを読み直し、設定の動作を行ったところ
Transmitter登録の所までは行けたので、リモコン登録の期待が更に高まりました。
少なくともBitWriterでTransmitter programming LOCKEDにはされていないようです。
LOCKEDになっていても、登録の直前までは行けそうな感じです。
プログラムメニュー2の方はちゃんと入れました。
ドアロックハーネスが無いのでちゃんと動くかの確認は取れていません。
メニュー2に入れるところを見ると、中身はショックセンサー以外Viper330Vと全く同じじゃないかと思います。

2010/02/13追記
ドアロックハーネスの替わりになるものがないか探してたら
パソコンケースに使われている小さいスピーカーの線(マザーに繋がるやつ)が
3PINで丁度良さそうな大きさだったので試しに挿してみたらジャストフィット。
(カチッとはまるわけではないので、抜け防止に隣の配線と一緒にとめるなどの措置が必要)
配線を作って車両のドアロック・アンロック線に結線してみました。

初期設定はイグニッションONでドアロック、OFFでアンロックという設定。
ちゃんと動作するかドキドキしながらイグニッションON!
「ガチャ」とドアロック!
イグニッションOFF!
ちゃんとアンロク動作!
Hornet300Vでも機能は殺されてません!(笑)

試しにメニュー2でイグニッションとドアの連動をOFFにしてみる。
イグニッションON!
反応なし。
ドアロック掛けてイグニッションOFF!
反応なし。
メニュー2もちゃんと機能してます。

このドアロックへの接続はリモコンでのセキュリティON・OFF時にドアロックを連動する場合や
Passive Locking(施錠を忘れた際に自動でセキュリティONにする機能)を使用する場合に
セキュリティにドアロックさせる場合に必要になります。
もちろんリモコンやPassive Lockingなしでも、イグニッション連動の自動ロックとして使えます。

しっかり動作したので今後の液晶アンサーバックリモコン追加に期待が膨らみます。
ちなみに「内蔵センサーも最弱設定でつまみ無くしただけで、実は内部的には機能してるんじゃ?」と疑って、セパレートショックセンサーの配線を外し、セキュリティONで本体を叩いてみましたが、何の反応もなし。
流石に内蔵センサーは完全に殺されているようです。

アンテナ+単方向リモコン+双方向液晶リモコンのために
Viper5002を新品で買おうかと検討中。
オークションではなく、直接お店のHPで買えば、送料込みで15,000円程度。
Hornet300Vにバックアップサイレン、ボンネットセンサー、アンサーバックリモコンまで付いて
本体の金額+2万だったらかなりお得なセキュリティ構成です。
もちろんDIYで取り付けれる事が前提ですが、ショップに頼むと馬鹿みたいに高いですからね(^^;

2010/02/15追記
Viper5002を注文しました。
送料等込みで15,000円ちょっとです。
リモコンとアンテナセットを買うよりも5002新品を買う方が断然やすという(^^;
ここまで調査が出来ているので、恐らくHornet300Vでも動くとは思いますが
最悪動かなければViper330Vを買い直すことになるかも(笑)
まあ買い直しになっても配線等は結線済みで、コネクターの線を差し替えて設定し直すだけなんですけどね。

2010/02/17追記
Viper5002が届いたので、早速リモコン登録にチャレンジしてみました。
アンテナを繋いで登録モードにしてリモコンのアームボタンをポン!
リモコンからエラー音!
2wayではなく1wayも挑戦。
ダメです・・・
Hornet300Vからもチャープ音は鳴るので、通信はしてるっぽいけど登録が出来ません。
Hornetから聞こえるチャープ音は少し長めでした。
既に外が暗かったので、あまり音を鳴らすわけにも行かず
今日のHornetでのテストはここで断念。

BBitWriterでロックが掛かってると、長めのチャープ音になるらしいので
Viper5002でどのような音が出るのか、確認のためテストをしてみました。
(ここからは、バッテリーチャージャーに繋いでの室内でのテストです)
5002にて一旦登録解除し、再度リモコンを登録。
同じ長さのチャープ音で登録完了。
う~ん、意味不明(笑)
登録済みのリモコンを5002に再度登録してみる。
同じ長さのチャープ音+リモコンのエラー音はHornetでエラーに鳴ったときの音と同じ。
ますます意味が分からなくなってきました(笑)

ある程度情報が出回ってからなら、ロックを掛けて出荷の可能性も高いですが
私が取り付けた時期に出荷した物をロックしてるとは考え難いけどな・・・
(とは言ってもロックされている可能性もありますが)

ここで幾つか可能性を洗い出してみることに。
1.そもそもHornet300Vの仕様上登録出来ない。
2.BitWriterによるロックで登録出来ない。
3.国内版と並行版による違いで使用出来ない。
4.登録時のチャープ音・リモコンのビープ音が5002に既に登録済みの場合と同じなので
  アンテナ自体もリモコンを記憶しているが、本体の情報と一致しない為無効にされている。
5.設定の方法が間違っている。

4か5であれば解決策は多少考えられますが、それ以外だと現状の自力では無理です。
4の可能性もあるので、とりあえず5002側のリモコン設定で登録を全削除し
アンテナを300Vに繋いで再登録をしてみようと思っています。
もし4であれば新品でアンテナとリモコンのみを買った状態なら、問題なく登録出来るはずです。
5002は初期状態で付属のリモコンが登録済みなので、一旦解除してチャレンジする意味はありそうです。

ちなみに4を考えた理由としては、基本的な通信部分を本体がやっているのであれば
アンテナは電波の送受信のみを行うことになるので、ケーブルには同軸が使われるはず。
(ETCなんかは同軸使用ですね)
しかし普通の配線であることから、ある程度の通信処理はアンテナがやっていると考えられる。
その通信結果を元にViper本体とやり取りしているのではないか、という推測です。
アンテナのみで完結してしまうと、アンテナ交換で解除出来てしまうので
本体に記録された情報と照合はしているはずだと思います。

とりあえず明るい時間にテスト出来る時にでも、もう少し登録のテストはやってみる予定です。
それでもダメだとBitWriterが必要かもしれませんが
BitWriter買うお金を出せばViper330Vが買えてしまいます(笑)
しかも現行型の全Viperをスマートエントリー対応に出来るユニットが2月に発売になったので
それを購入すればViper5002をスマートエントリー対応にして取り付けれるという・・・
(現在はディスカウントではそのユニットは売られていないようです)
どちらにせよ、再度のテストで結果が出てから考えることにします。

2010/02/18追記
一旦Viper5002で登録を解除した後にHornet300Vにリモコンを登録してみました。
結果はOK!
やはり登録済みのアンテナ&リモコンだとやはり解除が必要なのかもしれません。
推測4が正しい可能性が高いと思われます。
当然ながら新品のアンテナ単品&リモコン単品であれば問題はないと思います。
アンサーバック液晶リモコンも1wayリモコンも2個とも登録OKで両方とも問題なく使えました。
詳しくは登録方法などを纏めて新しい記事にします。

纏めた記事はこちら↓
ホーネット300Vに液晶アンサーバックリモコン追加(正式版)

関連記事:

  1. ホーネット300Vに液晶アンサーバックリモコン追加(正式版)
iPod

power downloaderを使ってipodにダウンロード

コメントする

iPodTouchにyoutubeなどの動画を入れる場合、わざわざ変換してiTunes経由で入れていましたが
今回便利なダウンロードソフトが無料でインストール可能になりました。
使い方も難しくなく、お勧めの1本です。

名前もズバリ「power downloader」です。
↓ ここからiTunes経由でDL出来ます。
power downloader

初心者でも操作はそれ程難しくありません。

pd_1

左下のBrowserボタンでブラウザーを開き、URLを直接入力するか
下の右から2番目のBokkMarksボタンで初期登録してあるYahooやGoogleを開き
検索して目的のページへ飛びます。
(当然、お気に入りのページをBookMarkに登録も可能です)

目的のページに飛んだら、右上のMENUボタンを押します。
すると上の画像のようにメニューが開きますので、Find DL Fileを押します。
Find DL Fileすると下の画像のようにDL出来るファイルの一覧が表示されます。

pd_2

ダウンロードしたいファイルの左側にチェックを付け、Downloadを押せば目的のファイルのDL開始です。

ダウンロードした(している)ファイルを確認する為に、下の左から2番目のDownloadメニューを押します。
すると下の画像のように、ダウンロード対象ファイルの一覧が表示されます。

pd_3

ダウンロード中の物はプログレスバーが表示され、ダウンロードの度合いが表示されます。
ダウンロードが終了した物はチェックを付けて、下のフォルダから移動フォルダを選択することで
指定したフォルダにチェックしたファイルを移動させる事が可能となります。

フォルダに移動したファイルは、下のメニューの真ん中のFolderを押して
更に任意のフォルダへ移動すれば一覧が表示されます。
一覧の中から任意のファイルを押せば画像や動画の表示が行えます。

pd_4

細かい事をいえば、改良して欲しい点は幾つかありますが
無料で配布されている事や、長期保存しない動画などをDLしておいて
オフラインで見る程度であれば、文句なしのアプリではないかと思います。
長期保存(永久保存)するようなファイルであれば、PC使ってちゃんと管理・保存すればいいですしね。

iPod

iPod Touchに無料で辞書を入れる

コメントする

※ここに書いている方法は、恐らくiPhoneでも可能だと思いますが
所持している携帯がAUなので、iPhoneでの検証は出来ません!

娘がiPodTouchを購入したので、自分のではないけど弄ってみました(笑)

まずはクレジットカードを利用しないアカウントの登録。
iTunesのストアで無料アプリを1つ購入にして、新規アカウントの作成。
クレジットカードで「なし」を選べばOK、簡単です。
アップルのサポートページにもちゃんと書いてある方法です。
クレジットカードを使わずに iTunes App Store アカウントを作成する方法

基本的に辞書アプリは有料の物が殆どです。
キングソフトから翻訳機能付き英日/日英辞書ソフト「キングソフト辞書」というのが出ているのですが
バージョンアップで英和が出来なくなり、名前とは違ってダメダメなソフトになりました。
インターネット環境が前提なら「デ辞蔵」という辞書もフリー版が存在します。
但し、これはオフラインで使用する事は出来ません。

今回はオフラインでの利用も考えて、「EBPocket」の無料版を使う事にしました。
EBPocket for iPhone/iPod touch
※既にリンク先のサイトはなくなっているようです
(有料のProfessional版は横画面での利用なども出来ます)
EBPocketを選んだ理由、それは辞書の追加が自由に出来る事です。
インストール時にデフォルトで英和/和英辞書が一つ入っていますが、更に追加で辞書を入れる事が可能です。
※追加出来る辞書は、EPWING、電子ブック、LogoVista電子辞典、PDIC形式となります。

インストールしたらEBPocketを起動し、設定画面でFTPサーバーを起動後に
FTPクライアントを利用し、辞書を転送する仕組みです。
まずは、準備として辞書をダウンロードします。

Maximilkのページより
PDD百科辞書(EPWING)PDD人名辞典(EPWING版)をダウンロードして解凍します。
※既にリンク先のサイトはなくなっているようです
(他にもカクテル・レシピ集なんかもあります)

まずはPDD百科辞書のpdh03.exeを解凍すると、解凍先にpdh03というディレクトリが作成され、その中にファイルが解凍されます。
辞書に転送するのは、この中のEpwingというディレクトリとなります。
(転送方法などは後述)

次にPDD人名辞典のpddj011.exeを解凍すると、解凍先にPDDJディレクトリ、CATALOGS、README_J.TXTが解凍されます。
転送するにはもう一つ上のディレクトリが必要になるので、適当な名前(PDDJでもOK)のディレクトリを作成し、解凍したPDDJディレクトリ、CATALOGSファイルを、作成したディレクトリの下に移動しておきます。
PDD人名辞典は、この作成したディレクトリが転送するディレクトリとなります。

私はもう一つ追加でフリーの英和・和英辞書であるPrepTutorEJDICも入れました。
EPWING 版 PrepTutorEJDIC
※既にリンク先のサイトはなくなっているようです
解凍するとPrepTutorEJDICというディレクトリが出来ますが、不必要なファイルも一緒に解凍されるので、ipodの容量確保の為に不必要なファイルを削除します。
PrepTutorEJDICディレクトリ以下のEJDICディレクトリ以下、CATALOGSファイル以外は消しても問題ありません。
ipodに転送するのは、このPrepTutorEJDICディレクトリとなります。

実際にFTP転送する前に、FTPクライアントを用意します。
FTPクライアントをお持ちでない方は、超有名なFFFTPなどをDLして使えば良いと思います。

では実際に転送してみます。
まずipodがWiFiでローカルネットワークに接続されているか確認してください。
ローカルネットワークに繋がっていればEBPocketを起動します。
画面の左下に設定ボタンアイコンがあるので、アイコンをタップし設定画面に進みます。
設定メニューのFTPサーバーを選択し、FTPサーバー画面へ進みます。
FTPサーバー画面の右上の開始ボタンをタップすれば、FTPサーバーが起動します。
(IPが表示され、「ネットワークに接続中です。」と表示されればサーバーの起動は成功です)

FTPサーバー画面
EBPocket FTP

画面に表示されたIP、ポート番号(この変更も忘れずに)をFTPクライアントに設定し
anonymousユーザにてFTP接続します。(パスワードは必要ありません)

FTPにて接続するとルートディレクトリ下にEBPocketというディレクトリがありますので
EBPocketディレクトリに移動します。
移動後、最初に準備しておいた辞書をディレクトリごと転送します。
※転送は1辞書毎に行ってください。
転送が終わったらEBPocketを起動し直せば、登録した辞書が使えるようになるはずです。

EBPocket起動後の画面右下に辞書選択のアイコンがあるので選択します。
すると登録した辞書が一覧に出てると思います。(出ていなければ登録に失敗しています)

登録した辞書が正常に動作するか、一つずつ選択して辞書を検索します。
※PDD百科辞書などは、辞書が一覧に出て来ていても、実際に検索するとアプリごと落ちる場合もあります。
正常動作しない場合は、FTPサーバー画面のWindows(SJIS)をオンにして転送することで、正常動作が確認出来ました。
各辞書の動作確認が終われば、辞書データの登録も無事終了です。

ちなみに辞書選択画面にて串を選べば、全辞書の検索結果が表示されますのでお勧めです。

探して見つけた(EPWING)広辞苑 第六版、英辞郎108(英辞郎+和英辞郎+例辞郎+略語郎.一本化)も入れてみました。
サイズは大きいですが、流石に有名なだけあって内容は充実してます。
買うとお値段はそれなりにしますけど。
(三省堂大辞林、小学館大辞泉なども探せば落ちてました。学研.新世紀ビジュアル百科辞典なんかも落ちてました)

追記
DiskAidを利用したUSB経由でも転送可能かもしれませんが、今のところ検証していません。
新世紀ビジュアル百科辞典にて音声・動画をテストしてみましたが、共に再生できませんでした。
ちなみに同じファイルをEBWinにてテストしたところ、音声は再生できましたが動画は再生できませんでした。

更に追記
拾ってきた研究社新英和和英中辞典第五版を入れてみたところ
ちゃんと音声が再生されました。
新世紀ビジュアル百科辞典は何か特殊な形式なのだろう。

KURO-BOX/T4, NAS

DoS攻撃対策 Apache mod_antiloris

コメントする

mod_evasive、mod_limitipconnと攻撃対策のモジュールを導入しましたが
今回は一番厄介なSlowlorisの対策モジュールを導入します。

最初にmod-pacify-slowlorisを入れてみましたが
ページが正常に表示されなかったりしたので、mod_antilorisを入れる事にしました。
(mod-pacify-slowloris、mod_antilorisでも完全に防ぐのは、現状では難しいようです)

まずは、適当なディレクトリにソースをDL。

ディレクトリ移動
#cd /usr/local/src

mod_antiloris-0.4.tar.bz2のDL
#wget ftp://ftp.monshouwer.eu/pub/linux/mod_antiloris/mod_antiloris-0.4.tar.bz2

解凍
#tar -xjvf mod_antiloris-0.4.tar.bz2

解凍したソースディレクトリに移動
#cd mod_antiloris-0.4

APXSを利用してコンパイル&インストール
#/usr/bin/apxs2 -i -a -c mod_antiloris.c
※APXSが未インストールの場合は
#apt-get install apache2-prefork-devで先にインストールしてください。

以下の行をapache2.confに追加
LoadModule antiloris_module /usr/lib/apache2/modules/mod_antiloris.so

設定が終わったらconfが正しく設定されたかを確認。
#apache2ctl -M

上記コマンド実行後にantiloris_moduleとSyntax OKが表示されれば、設定自体は問題ない事になります。

設定が問題なければ、apacheを再起動
#/etc/init.d/apache2 restart

暫くこれで様子を見てみる予定です。
それでもSlowlorisの被害にあうようであればiptablesのrecentで弾く事も検討します。

Slowlorisについて

Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より)

この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。

脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。

SANSでは詳細のレポートが挙がっており、TimeOutディレクティブでタイムアウト値の設定を変えることでこの攻撃を軽減することが可能とのことで、今のところ対策はこれくらいしかないそうだ。

関連記事:

  1. Kernel 2.6.32をコンパイル
  2. DoS攻撃対策 Apache mod_evasive
  3. DoS攻撃対策 Apache mod_limitipconn
  4. LCD制御スクリプト
  5. RRDTOOLのGPRINTを利用可能にする!
KURO-BOX/T4, NAS

DoS攻撃対策 Apache mod_limitipconn

コメントする

前回DoS攻撃対策としてmod_evasiveを導入しました。
今までは攻撃をあまり気にしていませんでしたが
そこそこmod_evasiveが働いているようなので、更に攻撃対策を強化することに。

今回導入するのは、同時接続数を制限してくれるmod_limitipconnというモジュールです。
このモジュールは同一IPからの同時接続数を制限してくれます。

まずは、適当なディレクトリにmod_limitipconnのページからソースをDLしてインストール。

ディレクトリ移動
#cd /usr/local/src

mod_limitipconn-0.23のDL
#wget http://dominia.org/djao/limit/mod_limitipconn-0.23.tar.bz2

解凍
#tar xjvf mod_limitipconn-0.23.tar.bz2

解凍したソースディレクトリに移動
#cd mod_limitipconn-0.23

Apache2用にMakefileを変更
#vi Makefile

7行目のAPXSコマンドをApache2用に変更
※APXSが未インストールの場合は
#apt-get install apache2-prefork-devで先にインストールしてください。

#   the used tools
APXS=apxs
APACHECTL=apachectl

↓ のように書き換え

#   the used tools
APXS=/usr/bin/apxs2
APACHECTL=apachectl

コンパイル&インストール
#make install

Apacheの設定にモジュールの記述を追加
#vi /etc/apache2/apache2.conf

LoadModule limitipconn_module /usr/lib/apache2/modules/mod_limitipconn.so

ExtendedStatus On



MaxConnPerIP 3
NoIPLimit image/*

※Locationの設定は複数記述することが出来ます。
また、.httaccessに記述することも可能です。
複数の設定を行うことで、より細かく制限を行う事が出来ます。
上記の設定の意味は、/(httpルート)以下のディレクトリで
同一IPからの同時接続数を3に制限する。
但し、MIMEタイプ image/* は除く、という設定になります。
MaxConnPerIPが3だとサイトによっては少ないかもしれません。
ZIPや大きなファイルなど、回線負荷に関わるものを、MIMEで少なめに指定するのは有効だと思います。
しかし通常のページを3に制限してしまうと、JavaScriptファイルを裏で読んでくれなかったりしますので
ページとして問題が出る場合があります。
その場合は数字を少し大きくしてあげるか、特定のファイルタイプのみカウントの対象(または非対象)にするか
MIMEタイプでカウントの対象外になるようにしましょう。

設定が終わったらconfが正しく設定されたかを確認。
#apache2ctl -M

上記コマンド実行後にlimitipconn_moduleとSyntax OKが表示されれば、設定自体は問題ない事になります。

設定が問題なければ、apacheを再起動
#/etc/init.d/apache2 restart

最後にうまく動作するかテストを行うといいと思います。
※ページによってはうまく読み込めなかったりしますので、テストされる事をお勧めします。
ブラウザを複数開いて、一気にアクセスしてみると簡単にテスト出来ます。

関連記事:

  1. Kernel 2.6.32をコンパイル
  2. LCD制御スクリプト
  3. DoS攻撃対策 Apache mod_evasive
  4. DoS攻撃対策 Apache mod_antiloris
  5. RRDTOOLのGPRINTを利用可能にする!
KURO-BOX/T4, NAS

DoS攻撃対策 Apache mod_evasive

コメントする

最近、稀にサーバー負荷が非常に高い時があります。
その時でも完全にフリーズしているわけではないが、ログインして再起動するのがやっとな状況で
サーバーとしては機能しておらず、何かの対策を行う必要が出て来ました。

まずはKernelを最新の2.6.32.2にアップ。
これだけでは解決しないと考えているので、一番疑わしいhttpdにも対策を。
既にiptablesにてヤバそうな国からのアクセス自体をブロックしているが
DoS攻撃などは、ウィルス感染により足場サーバーから行われるので
DoS攻撃をブロックすることにしました。

今回はDoS攻撃に有効なアパッチ用のモジュールmod_evasiveを使用することにました。

まずは、適当なディレクトリにzdziarski.comのmod_evasiveページからソースをDLしてインストール。
※既にリンク先のサイトはなくなっているようです

ディレクトリ移動
#cd /usr/local/src

mod_evasive v1.10.1のDL
#wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz

解凍
#tar xzf mod_evasive_1.10.1.tar.gz

解凍したソースディレクトリに移動
#cd mod_evasive

このモジュールはAPXSを使用してコンパイル&インストールを行うのですが
デフォルトではAPXSが入っていなかったので、パッケージをインストール。
#apt-get install apache2-prefork-dev

APXSを利用してコンパイル&インストール
#/usr/bin/apxs2 -i -a -c mod_evasive20.c

※ブラックリスト追加時にメールを送信したい場合は
mod_evasive20.cの中にメールコマンドがハードコーディングされているので
コマンドを書き換える必要があります。

45行目の以下の行がメール送信コマンド部分です。
#define MAILER “/bin/mail %s”

/* BEGIN DoS Evasive Maneuvers Definitions */

#define MAILER	"/bin/mail %s"
#define  LOG( A, ... ) { openlog("mod_evasive", LOG_PID, LOG_DAEMON); syslog( A, __VA_ARGS__ ); closelog(); }

Exim4の場合は ↓ のように書き換えることで送信出来ます

/* BEGIN DoS Evasive Maneuvers Definitions */

#define MAILER	"mail -t %s"
#define  LOG( A, ... ) { openlog("mod_evasive", LOG_PID, LOG_DAEMON); syslog( A, __VA_ARGS__ ); closelog(); }

件名も付けたい場合は ↓ のように書き換えることで件名付きで送信出来ます

/* BEGIN DoS Evasive Maneuvers Definitions */

#define MAILER	"mail -s 'ここに件名を入れます' -t %s"
#define  LOG( A, ... ) { openlog("mod_evasive", LOG_PID, LOG_DAEMON); syslog( A, __VA_ARGS__ ); closelog(); }

当然ならがApacheの設定ファイルのDOSEmailNotifyに(後述の設定部分参照)
送信先のメールアドレスを書いて有効にする必要があります。

コンパイルとインストールに成功したようですが
なんかモジュールのデフォルト設定書き込みに失敗したみたいなので、手動で書きこみます。

confファイルに追記(追記はhttpd.confで良いと思いますが、私はファイル分けが面倒な人なので・・・)
#vi /etc/apache2/apache2.conf

以下の行をapache2.confに追加

LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so


DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 60
DOSLogDir "/var/log/apache2/mod_evasive/logs"
#DOSEmailNotify info@domain
#DOSSystemCommand   ""
#DOSWhitelist       127.0.0.1

これらの設定の意味は、「mod_evasive 設定」などで検索すると沢山出て来ますので、省略させて頂きます。
ちなみにこの設定では、1秒間に同じページに2回アクセスがあるか
1秒間にサイトに50回以上アクセスがあった場合に、60秒間 403Eroorを返すような動作となります。
ブロックの記録は、DOSLogDirで設定した場所へブロックしたIPが保存されます。

設定が終わったらconfが正しく設定されたかを確認。
#apache2ctl -M

上記コマンド実行後にevasive20_moduleとSyntax OKが表示されれば、設定自体は問題ない事になります。

設定が問題なければ、apacheを再起動
#/etc/init.d/apache2 restart

ちゃんとブロック出来るかmod_evasiveのソースに付属していた、テストスクリプトを実行
#perl test.pl

テストのレスポンスが、途中からHTTP/1.1 403 Forbiddenを返すようになれば
うまくブロックが出来ている事になります。

mod_evasive自体は設定通りの振る舞いをするだけで
決して万能なブロックツールというわけではありません。
他のブロック方法との併用や、環境にあった適切な設定を行うことが大切だと思います。

関連記事:

  1. cronのログ出力先変更
  2. LCD制御スクリプト
  3. Kernel 2.6.32をコンパイル
  4. DoS攻撃対策 Apache mod_limitipconn
  5. DoS攻撃対策 Apache mod_antiloris

主にPC、車・バイク、トイガンなどについて書いてます