アンダーベッドホスティング: ホームホスティングの不気味な慣行

「アンダーベッド」ホスティングとは、一般的な住宅用アパートに設置され、ホーム インターネット チャネルに接続されているサーバーの俗名です。 このようなサーバーは通常、パブリック FTP サーバー、所有者のホームページ、さらには他のプロジェクトのホスティング全体をホストすることもありました。 この現象は、専用チャネルを介した手頃な価格のホーム インターネットが登場した初期の頃によく見られたもので、データ センターで専用サーバーをレンタルするのは高価すぎ、仮想サーバーはまだ普及しておらず、十分に便利ではありませんでした。

ほとんどの場合、古いコンピュータが「アンダーベッド」サーバーに割り当てられ、そこに見つかったすべてのハードドライブが取り付けられていました。 ホームルーターやファイアウォールとしても機能します。 自尊心のある通信会社の従業員なら誰でも、自宅にそのようなサーバーを持っているはずです。

手頃な価格のクラウド サービスの出現により、ホーム サーバーの人気は低くなり、現在、集合住宅で見かけるのはフォト アルバム、映画、バックアップを保存するための NAS がほとんどです。

この記事では、ホーム サーバーに関連する興味深い事例と、その管理者が直面する問題について説明します。 この現象が最近どのようなものかを見て、今日プライベートサーバーでホストできる興味深いものを選択してみましょう。

Novaya Kakhovka のホーム ネットワーク サーバー。 写真はサイトnag.ruより

正しいIPアドレス

ホーム サーバーの主な要件は、実際の IP アドレスが存在すること、つまり、インターネットからルーティングできることです。 多くのプロバイダーは個人向けにこのようなサービスを提供しておらず、特別な契約を通じて利用する必要がありました。 多くの場合、プロバイダーは専用 IP の提供のために別の契約を締結する必要がありました。 場合によっては、この手順でも所有者用に別の NIC ハンドルを作成する必要があり、その結果、所有者のフルネームと自宅アドレスが Whois コマンドを使用して直接取得できるようになりました。 ここで、「IP によって計算する」という冗談は冗談ではなくなったため、インターネット上で議論するときは注意が必要でした。 ところで、少し前にスキャンダルがありました プロバイダAkadoと、すべての顧客の個人データをwhoisに置くことを決定しました。

永続的な IP アドレスと DynDNS の比較

永続的な IP アドレスを取得できた場合は良いのですが、すべてのドメイン名をそのアドレスに誘導し、そのアドレスを忘れることも簡単にできますが、常に可能であるとは限りません。 多くの大規模な連邦規模の ADSL プロバイダーは、クライアントに実際の IP アドレスをセッション期間中のみ与えていました。つまり、実際の IP アドレスは XNUMX 日に XNUMX 回変更されるか、モデムが再起動されるか接続が失われた場合に変更されます。 この場合、Dyn (動的) DNS サービスが役に立ちました。 最も人気のあるサービス Dyn.com、長い間無料であったため、ゾーン内でサブドメインを取得できるようになりました *.dyndns.org、IP アドレスが変更されるとすぐに更新される可能性があります。 クライアント側の特別なスクリプトが常に DynDNS サーバーをノックし、発信アドレスが変更されると、新しいアドレスがサブドメインの A レコードに即座にインストールされました。

閉じられたポートと禁止されたプロトコル

多くのプロバイダー、特に大規模な ADSL は、ユーザーが自分のアドレスで公共サービスをホストすることに反対していたので、HTTP などの一般的なポートへの受信接続を禁止しました。 Counter-Strike や Half-Life など、プロバイダーがゲーム サーバーのポートをブロックしたことが知られています。 この手法は現在でもよく使われていますが、問題が発生することがあります。 たとえば、ほとんどすべてのプロバイダーは、ウイルスの拡散を防ぐために RPC および NetBios Windows ポート (135 ～ 139 および 445) をブロックするだけでなく、電子メール SMTP、POP3、IMAP プロトコルの頻繁に受信するポートもブロックします。

インターネットに加えて IP テレフォニー サービスを提供するプロバイダーは、クライアントに自社のテレフォニー サービスのみを使用させるために、SIP プロトコル ポートをブロックすることを好みます。

PTRとメール送信

独自のメール サーバーをホストすることは、別の大きなトピックです。 個人の電子メール サーバーをベッドの下に置き、完全に制御できるようにするというのは、非常に魅力的なアイデアです。 しかし、実際に実装することが常に可能であるとは限りませんでした。 ほとんどのホーム ISP IP アドレス範囲はスパム リストで永久にブロックされます (ポリシーブロックリスト)、そのため、メール サーバーは、ホーム プロバイダーの IP アドレスからの受信 SMTP 接続の受け入れを単に拒否します。 その結果、そのようなサーバーからレターを送信することはほとんど不可能になりました。

さらに、メールを正常に送信するには、IP アドレスに正しい PTR レコードをインストールする、つまり IP アドレスからドメイン名への逆変換が必要でした。 大多数のプロバイダーは、特別な協定を締結するか、別の契約を締結する場合にのみこれに同意します。

隣人のベッド下サーバーを探しています

PTR レコードを使用すると、IP アドレスで隣接するうちのどの IP に対して特別な DNS レコードを設定することに同意したかを確認できます。 これを行うには、ホーム IP アドレスを取得し、それに対応するコマンドを実行します。 フーイズ、そしてプロバイダーがクライアントに発行するアドレスの範囲を取得します。 このような範囲はたくさんあるかもしれませんが、実験のために XNUMX つ確認してみましょう。

私たちの場合、これはオンラインプロバイダー (Rostelecom) です。 に行きましょう 2ip.ru IP アドレスを取得します。

ちなみに、Online は、専用の IP アドレス サービスがなくても、常にクライアントに永続的な IP を発行するプロバイダーの XNUMX つです。 ただし、住所は数か月間変更できない場合があります。

nmap を使用してアドレス範囲 95.84.192.0/18 (約 16 アドレス) 全体を解決してみましょう。 オプション -sL 基本的にホストを積極的にスキャンせず、DNS クエリを送信するだけなので、結果には IP アドレスに関連付けられたドメインを含む行のみが表示されます。

$ nmap -sL -vvv 95.84.192.0/18

......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....

ほとんどすべてのアドレスには、次のような標準 PTR レコードがあります。 ブロードバンドアドレス.ip.moscow.rt.ru いくつかのことを除いて、 mx2.merpassa.ru。 mx サブドメインから判断すると、これはメール サーバー (メール交換) です。 サービスでこのアドレスを確認してみましょう スパムハウス

IP 範囲全体が永続的なブロック リストに登録されており、このサーバーから送信された手紙が受信者に届くことは非常にまれであることがわかります。 送信メール用のサーバーを選択するときは、この点を考慮してください。

メール サーバーをホーム プロバイダーの IP 範囲内に維持することは、常に悪い考えです。 このようなサーバーでは、メールの送受信に問題が発生します。 システム管理者がメール サーバーをオフィスの IP アドレスに直接展開することを提案する場合は、この点に留意してください。
実際のホスティングまたは電子メール サービスを使用します。 こうすることで、手紙が届いたかどうかを確認するために電話する頻度が減ります。

WiFiルーターでのホスティング

Raspberry Pi のようなシングルボード コンピューターの登場により、タバコの箱ほどの大きさのデバイスで Web サイトが実行されるのは驚くべきことではありませんが、Raspberry Pi が登場する前でさえ、愛好家は WiFi ルーターで直接ホームページを実行していました。

54 年に OpenWRT プロジェクトを開始した伝説の WRT2004G ルーター

OpenWRT プロジェクトが始まった Linksys WRT54G ルーターには USB ポートがありませんでしたが、職人は SPI として使用できるはんだ付けされた GPIO ピンを発見しました。 こんな感じで本体にSDカードを追加するMODが登場しました。 これにより、創造性に大きな自由が開かれました。 PHP 全体をまとめることもできます。 私個人としては、はんだ付けの仕方をほとんど知らずに、このルーターに SD カードをはんだ付けしたときのことを覚えています。 その後、ルーターに USB ポートが表示され、フラッシュ ドライブを挿入するだけで済みます。

以前、完全に家庭用 Wi-Fi ルーター上で開始されたインターネット上のプロジェクトがいくつかありました。これについては以下に説明します。 残念ながら、ライブサイトはXNUMXつも見つかりませんでした。 おそらくあなたはこれらを知っていますか？

IKEAテーブルのサーバーキャビネット

ある日、IKEA の Lack という人気のコーヒーテーブルが標準の 19 インチ サーバー用のラックとして機能することを誰かが発見しました。 このテーブルは価格が 9 ドルであるため、ホーム データ センターの構築に非常に人気があります。 このインストール方法はと呼ばれます ラックの欠如.

IKEA Lakkテーブルはサーバーキャビネットの代わりに最適です

テーブルを上下に積み重ねて、実際のサーバー キャビネットを作成することもできます。 残念なことに、積層チップボードが壊れやすいため、重いサーバーによってテーブルがバラバラになってしまいました。 信頼性を高めるために、金属コーナーで補強されています。

学童が私からインターネットをどのように奪ったのか

予想どおり、私も独自のベッド下サーバーを持っていて、そこでゲーム関連のトピック専用の簡単なフォーラムを実行していました。 ある日、禁止に不満を抱いた攻撃的な男子生徒が仲間たちを説得し、一緒に自宅のコンピューターから私のフォーラムに DDoS 攻撃を開始しました。 当時のインターネット チャネル全体は約 20 メガビットだったので、彼らは私の自宅のインターネットを完全に麻痺させることに成功しました。 チャネルが完全に使い果たされていたため、ファイアウォールによるブロックは役に立ちませんでした。
外から見るととても面白く見えました。

- こんにちは、ICQ で答えてくれませんか?
- 申し訳ありませんが、インターネットはありません。彼らは私を見つけようとしています。

プロバイダーに連絡しても解決せず、これに対処するのはプロバイダーの責任ではなく、受信トラフィックを完全にブロックすることしかできないと言われました。 そこで私は、攻撃者が飽きるまで、インターネットなしで XNUMX 日間座っていました。

まとめ

ZeroNet、IPFS、Tahoe-LAFS、BitTorrent、I2P など、ホーム サーバーに導入できる最新の P2P サービスが選択できるはずです。 しかし、ここ数年で私の意見は大きく変わりました。 私は、公共サービスを自宅の IP アドレスでホストすること、特にユーザー コンテンツのダウンロードを伴うサービスをホストすることは、アパートに住むすべての住民に不当なリスクをもたらすと考えています。 ここで、インターネットからの受信接続を可能な限り禁止し、専用 IP アドレスを放棄し、すべてのプロジェクトをインターネット上のリモート サーバー上に保持することをお勧めします。

Instagram で開発者をフォローしてください

出所： habr.com