mod_ratelimitは、Apache HTTP Serverにおける帯域幅制限を行うためのモジュールです。ウェブサーバーが過剰なリクエストを受けた際、適切に制御しないとサーバー負荷が急激に高まり、サービス低下や停止の原因となります。特にDDoS攻撃や不正なボットアクセスなどによるトラフィックの増大は、ウェブサービスの運営に深刻な影響を与えます。
本記事では、mod_ratelimitを導入してApacheで特定の帯域制限を行い、攻撃を緩和する方法について解説します。mod_ratelimitの基本的な仕組みから、具体的な設定例、実運用時のポイントまでを詳しく説明し、Apache環境の安定性と安全性を向上させる手順を学んでいきます。
帯域幅の調整は、単なるリソース保護だけでなく、サービス品質(QoS)向上や公平なアクセス提供にも役立ちます。小規模から大規模まで幅広い環境で応用できるmod_ratelimitの利点を最大限に活用しましょう。
mod_ratelimitとは
mod_ratelimitは、Apache HTTP Serverの公式モジュールの一つで、クライアントごとに帯域幅の制限をかけることができるツールです。これにより、大量のリクエストを送るユーザーやボットによるサーバーの過負荷を防ぐことが可能になります。
基本的な機能と役割
mod_ratelimitは、クライアントがダウンロードするデータの転送速度を制限することで、特定のIPアドレスやリクエストに対して公平にリソースを分配します。これにより、他のユーザーのアクセスに影響を与えず、安定したサービスを提供することができます。
使用の目的
- DDoS攻撃の緩和:大量のリクエストを送る攻撃者に帯域制限をかけ、サーバーの負荷を軽減。
- サービス品質の向上:全てのユーザーが適切な帯域幅でアクセスできるように管理。
- ダウンロード速度の調整:大容量ファイルのダウンロードを制限し、他のコンテンツへの影響を防止。
帯域制限の仕組み
mod_ratelimitはApacheのフィルターモジュールとして動作し、レスポンスデータがクライアントに送信される際に帯域幅の調整を行います。設定は非常にシンプルで、特定のディレクトリやファイル、IPアドレス単位で制限を加えることができます。
mod_ratelimitの導入と設定方法
mod_ratelimitはApacheに標準で含まれているため、追加インストールは不要です。ただし、デフォルトで無効化されている場合があるため、有効化と設定を行う必要があります。以下では、mod_ratelimitの有効化から基本的な設定方法までを解説します。
mod_ratelimitの有効化
- Apacheモジュールの確認
まず、mod_ratelimitが利用可能かどうかを確認します。以下のコマンドを実行します。
apachectl -M | grep ratelimit
このコマンドでratelimit_module (shared)と表示されれば、有効になっています。表示されない場合は次の手順で有効化します。
- モジュールの有効化
sudo a2enmod ratelimit
sudo systemctl restart apache2
これでmod_ratelimitが有効になります。
基本的な設定方法
mod_ratelimitの設定は、Apacheの仮想ホスト設定ファイルや.htaccessファイルに記述します。以下の例では、すべてのリクエストに対して帯域幅を制限する方法を示します。
設定例(仮想ホストファイル)
<VirtualHost *:80>
ServerName example.com
DocumentRoot /var/www/html
<Location /downloads>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 500
</Location>
</VirtualHost>
この設定では、/downloadsディレクトリ以下のすべてのリソースに対して、1秒あたり500KBの帯域制限をかけています。
.htaccessを使った設定
Apacheの設定ファイルを直接編集できない場合は、.htaccessで設定します。
<IfModule mod_ratelimit.c>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 300
</IfModule>
これにより、.htaccessが置かれたディレクトリ以下に帯域制限が適用されます。
設定反映の確認
Apacheの設定を反映させるために、設定変更後は必ず以下のコマンドでリロードします。
sudo systemctl reload apache2
これでmod_ratelimitの導入と基本設定は完了です。次は具体的な制限の設定例を見ていきましょう。
帯域幅制限の具体的な設定例
mod_ratelimitでは、特定のディレクトリやファイルタイプに対して柔軟に帯域制限をかけることができます。ここでは、実際の運用シナリオを想定し、いくつかの具体的な設定例を紹介します。
特定ディレクトリへの帯域幅制限
ダウンロード専用ディレクトリに対して帯域を制限する例です。これにより、大容量ファイルのダウンロードによるサーバー負荷を軽減します。
<VirtualHost *:80>
ServerName example.com
DocumentRoot /var/www/html
<Location /downloads>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 200
</Location>
</VirtualHost>- ポイント:
/downloads配下のコンテンツは200KB/秒に制限されます。これにより、他のページの読み込みに影響を与えることなく安定した運用が可能です。
特定ファイルタイプへの制限
動画ファイルや圧縮ファイルなど、大容量になりがちなファイルタイプに対して帯域制限をかける例です。
<IfModule mod_ratelimit.c>
<FilesMatch "\.(mp4|zip|tar|gz)$">
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 300
</FilesMatch>
</IfModule>- ポイント: mp4やzipなどのファイルタイプをダウンロードする際に300KB/秒の制限を設けます。これにより、大容量コンテンツが他のユーザーに影響を与えないようになります。
仮想ホストごとの制限
複数の仮想ホストがある場合、ホストごとに異なる帯域幅制限を設けることが可能です。
<VirtualHost *:80>
ServerName downloads.example.com
DocumentRoot /var/www/downloads
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 100
</VirtualHost>
<VirtualHost *:80>
ServerName blog.example.com
DocumentRoot /var/www/blog
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 500
</VirtualHost>- ポイント: ダウンロードサイトでは厳しい制限(100KB/秒)を設ける一方、ブログサイトでは500KB/秒とすることで、用途に応じた適切なリソース管理ができます。
ユーザーエージェントによる制限
特定のボットやスクレイパーに対して帯域を制限することで、不正アクセスの影響を最小限に抑えます。
<IfModule mod_ratelimit.c>
<If "%{HTTP_USER_AGENT} =~ /(wget|curl|bot)/">
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 50
</If>
</IfModule>- ポイント: wgetやcurlなどのツールによるアクセスは、50KB/秒に制限されます。
設定適用後の確認
設定が正しく反映されているか確認するには、Apacheの再起動が必要です。
sudo systemctl reload apache2
これらの設定を活用することで、サーバーの帯域幅を効率的に管理し、安定したサービスを提供できます。次は特定のIPアドレスに対する制限について詳しく見ていきます。
特定IPアドレスに対する制限の設定
mod_ratelimitを使用すると、特定のIPアドレスまたはIP範囲に対して帯域幅を制限することができます。これにより、不正なアクセスや特定のユーザーからの過度なリクエストを効果的に抑えることが可能です。
特定IPアドレスへの帯域制限
以下は、特定のIPアドレス(例: 192.168.1.100)からのアクセスを100KB/秒に制限する設定例です。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnvIf Remote_Addr "^192\.168\.1\.100$" rate-limit 100
</Location>
</IfModule>- ポイント:
SetEnvIfディレクティブを使用し、リクエスト元のIPアドレスが一致する場合に帯域制限を適用します。 /の設定により、サイト全体に対して制限がかかります。特定のパスのみに制限をかける場合は、<Location /path>で指定可能です。
IP範囲に対する制限
複数のIPアドレスが属するサブネット全体に対して帯域幅制限を適用する例です。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnvIf Remote_Addr "^192\.168\.1\." rate-limit 200
</Location>
</IfModule>- ポイント:
192.168.1.で始まるすべてのIPアドレスに対して200KB/秒の帯域制限が適用されます。これにより、同一ネットワーク内のユーザーに対する一律の制限が可能になります。
複数IPアドレスへの異なる制限
異なるIPアドレスに対して、異なる帯域幅を設定する例です。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnvIf Remote_Addr "^192\.168\.1\.100$" rate-limit 100
SetEnvIf Remote_Addr "^192\.168\.1\.101$" rate-limit 300
</Location>
</IfModule>- ポイント: 192.168.1.100は100KB/秒、192.168.1.101は300KB/秒の制限が個別に設定されます。特定ユーザーのニーズに応じて帯域制限を柔軟に調整できます。
特定IPへの例外設定
特定のIPには制限をかけず、それ以外のIPに帯域制限を設けることも可能です。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 200
SetEnvIf Remote_Addr "^192\.168\.1\.50$" rate-limit 0
</Location>
</IfModule>- ポイント: すべてのクライアントは200KB/秒の制限を受けますが、192.168.1.50からのアクセスには帯域制限が適用されません。
設定の確認と反映
設定後、Apacheをリロードして変更を反映させます。
sudo systemctl reload apache2
この設定により、不正アクセスや特定のクライアントによる過剰な帯域消費を抑制し、サーバー全体のパフォーマンスを安定させることができます。次は、攻撃を軽減するための設定ポイントを解説します。
攻撃を軽減するための設定ポイント
mod_ratelimitは、DDoS攻撃やブルートフォース攻撃など、特定のトラフィックパターンによる過剰なリクエストを緩和するために効果的です。ここでは、攻撃を軽減し、サーバーを保護するための具体的な設定ポイントを解説します。
DDoS攻撃の緩和
DDoS攻撃では、大量のリクエストが短時間に集中して送信されます。これに対して、mod_ratelimitで全体の帯域を制限することで、攻撃の影響を軽減できます。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 100
</Location>
</IfModule>- ポイント: サイト全体の帯域を100KB/秒に制限することで、過剰なトラフィックを抑えます。正常なユーザーは影響を受けにくくなります。
特定ディレクトリのみ制限する場合
攻撃対象が特定のディレクトリに集中している場合、そのディレクトリのみに制限を適用します。
<Location /login>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 50
</Location>- ポイント:
/loginページへのアクセスを50KB/秒に制限し、ブルートフォース攻撃などを緩和します。
ブルートフォース攻撃の防止
ブルートフォース攻撃では、ログインページなどに対して繰り返しリクエストが送られます。これを制限することで、不正アクセスの試行を減らせます。
<Location /wp-login.php>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 30
</Location>- ポイント: WordPressなどのCMSにおけるログインページを対象とし、30KB/秒に制限します。これにより、攻撃の影響を最小限に抑えることが可能です。
ボットやスクレイピング対策
ボットやスクレイパーによる過剰なアクセスを防ぐために、User-Agentを判別して制限します。
<IfModule mod_ratelimit.c>
<If "%{HTTP_USER_AGENT} =~ /(bot|crawler|scraper)/">
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 50
</If>
</IfModule>- ポイント: ボットやクローラーからのアクセスを50KB/秒に制限し、サーバーリソースを保護します。
特定の国や地域からの攻撃緩和
GeoIPモジュールと組み合わせて、特定の国や地域からの帯域制限を行うことも可能です。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 300
SetEnvIf GEOIP_COUNTRY_CODE CN rate-limit 100
</Location>
</IfModule>- ポイント: 通常は300KB/秒で動作しますが、中国(CN)からのアクセスは100KB/秒に制限されます。これにより、特定地域からの不審なアクセスを制御します。
同一IPからの大量アクセス対策
同一IPからの連続したリクエストに対して制限をかけ、サーバーへの負荷を軽減します。
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnvIf Remote_Addr "^192\.168\.1\." rate-limit 100
</Location>
</IfModule>- ポイント: 同一ネットワークからのアクセスを制限し、内部ユーザーの過剰なトラフィックを抑えます。
設定適用後の確認
設定後、必ずApacheをリロードして変更を反映させます。
sudo systemctl reload apache2これらの設定を組み合わせることで、mod_ratelimitはサーバーに対するさまざまな攻撃を効果的に軽減します。次は、ログの確認とトラブルシューティングについて解説します。
ログの確認とトラブルシューティング
mod_ratelimitを設定した後は、正しく動作しているかを確認し、必要に応じてトラブルシューティングを行うことが重要です。ここでは、ログを活用した確認方法や、よくある問題への対処法を解説します。
Apacheログの確認
Apacheではアクセスログとエラーログを通じて、mod_ratelimitの動作状況を確認できます。
アクセスログの場所:
- CentOS/RHEL:
/var/log/httpd/access_log - Ubuntu/Debian:
/var/log/apache2/access.log
エラーログの場所:
- CentOS/RHEL:
/var/log/httpd/error_log - Ubuntu/Debian:
/var/log/apache2/error.log
ログのリアルタイム確認
アクセスログをリアルタイムで確認し、帯域制限が正しく適用されているか監視します。
tail -f /var/log/apache2/access.log- レスポンス速度が明らかに遅くなっているリクエストが見られれば、mod_ratelimitが動作している証拠です。
mod_ratelimitの動作確認
curlコマンドを使用して、帯域制限が適用されているか確認します。
curl -o /dev/null http://example.com/downloads/file.zip --limit-rate 200k- ポイント:
--limit-rateオプションを使い、mod_ratelimitで設定した帯域と比較して速度が制限されているかを確認します。
ログの分析
Apacheログから帯域制限がかかったリクエストを抽出します。
grep 'rate-limit' /var/log/apache2/access.logSetEnv rate-limitの設定が適用されたリクエストをログから特定できます。
よくある問題と対処法
mod_ratelimitが動作しない
- 原因1: mod_ratelimitが有効化されていない
apachectl -M | grep ratelimit- モジュールが有効でない場合は以下で有効化します。
bash sudo a2enmod ratelimit sudo systemctl restart apache2 - 原因2: 設定の記述ミス
設定ファイルを見直し、SetOutputFilter RATE_LIMITが正しく記述されているか確認します。
帯域制限が強すぎる
- 特定のユーザーから「ダウンロードが遅すぎる」との報告があった場合は、制限値を緩和します。
SetEnv rate-limit 500- 一部のIPアドレスに例外を設ける場合:
apache SetEnvIf Remote_Addr "^192\.168\.1\.50$" rate-limit 0
設定変更が反映されない
- 設定変更後にApacheの再起動またはリロードが行われていない可能性があります。
sudo systemctl reload apache2トラブルシューティングの流れ
- アクセスログをリアルタイムで確認
- curlで帯域制限をテスト
- 設定ファイルを再確認
- Apacheの再起動とログの再チェック
これらの手順を実施することで、mod_ratelimitの動作確認と問題の特定が容易になります。次は、他のモジュールと組み合わせた運用例について解説します。
他のモジュールと組み合わせた運用例
mod_ratelimitは、Apacheの他のモジュールと組み合わせることで、より強力なセキュリティ対策や効率的なサーバーリソース管理が可能になります。ここでは、mod_securityやmod_evasiveなどのモジュールと連携させた運用例を紹介します。
mod_securityとの連携
mod_securityは、ApacheのWebアプリケーションファイアウォール(WAF)モジュールで、不正なリクエストを検知・ブロックする役割を持ちます。これをmod_ratelimitと組み合わせることで、不正アクセスが検出された際に帯域制限を自動的に強化する仕組みを構築できます。
設定例:mod_securityで検出したIPに帯域制限を適用
<IfModule mod_security2.c>
SecRuleEngine On
SecRule REMOTE_ADDR "@streq 192.168.1.100" "id:1001,deny,log,tag:'RateLimit'"
</IfModule>
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnvIf Request_Status "RateLimit" rate-limit 50
</Location>
</IfModule>- ポイント: mod_securityで不正アクセスを検出した場合に「RateLimit」タグを付与し、mod_ratelimitが自動的に帯域を50KB/秒に制限します。
- 攻撃が検出されると、即座に帯域幅制限が発動され、攻撃の影響を最小限に抑えます。
mod_evasiveとの連携
mod_evasiveは、DDoS攻撃やブルートフォース攻撃を防ぐためのApacheモジュールです。短期間に大量のリクエストを送信するIPアドレスを自動的に検出してブロックします。mod_ratelimitと併用することで、ブロック対象に帯域制限を設ける仕組みを作成できます。
設定例:mod_evasiveでブロックしたIPの帯域制限
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 50
DOSBlockingPeriod 600
DOSEmailNotify admin@example.com
</IfModule>
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnvIf Request_Status "DDoS" rate-limit 100
</Location>
</IfModule>- ポイント: mod_evasiveでDDoSと判定されたIPアドレスは、帯域が100KB/秒に制限されます。これにより、完全にアクセスを遮断せず、負荷を抑えつつ対応できます。
mod_rewriteとの連携
mod_rewriteを使用することで、特定の条件に一致するリクエストに対してmod_ratelimitを適用することが可能です。たとえば、特定のリクエストパターンに対してのみ帯域制限を適用できます。
設定例:大容量ファイルのダウンロードに制限を設定
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} "\.(mp4|zip|tar|gz)$"
RewriteRule .* - [E=rate-limit:200]
</IfModule>
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
</Location>
</IfModule>- ポイント: 動画や圧縮ファイルなど特定の拡張子を持つファイルに対して、200KB/秒の帯域制限を自動的に適用します。
mod_deflateとの連携
mod_deflateは、レスポンスデータを圧縮することで帯域の使用量を削減するモジュールです。mod_ratelimitと併用することで、さらに効率的に帯域を制御できます。
設定例:圧縮データに対する帯域制限
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml
</IfModule>
<IfModule mod_ratelimit.c>
<Location />
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 300
</Location>
</IfModule>- ポイント: テキストデータはmod_deflateで圧縮し、さらにmod_ratelimitで帯域を制限することで、効率的にサーバーリソースを管理します。
組み合わせ運用のメリット
- 多層防御の実現:DDoSやブルートフォースなど複数の脅威に対して多角的な防御を実現します。
- サーバー負荷の軽減:不正アクセスや過剰なトラフィックを自動的に制御し、サーバーの安定稼働を維持します。
- 柔軟な対応:モジュールごとに異なる役割を持たせ、特定のシナリオに応じてカスタマイズが可能です。
次は、実運用での注意点とベストプラクティスについて解説します。
実運用での注意点とベストプラクティス
mod_ratelimitは強力な帯域制限ツールですが、運用環境によっては適用方法や設定のバランスが重要になります。過剰な制限はユーザーエクスペリエンスを低下させ、緩すぎる制限は攻撃を許してしまう可能性があります。ここでは、mod_ratelimitを効果的に運用するための注意点とベストプラクティスを解説します。
1. 帯域制限の設定値を適切に調整する
帯域制限が厳しすぎると、通常のユーザーも快適にサイトを利用できなくなる可能性があります。特に、動画や大容量ファイルを配信しているサイトでは、制限値を慎重に調整する必要があります。
ベストプラクティス:
- ダウンロード用のディレクトリに対してのみ制限をかけ、通常のHTMLやCSSファイルには制限をかけない。
- 帯域幅の制限値を段階的に調整し、実際のユーザー体験に影響がない範囲で最適化する。
- 高速なネットワークを利用しているユーザー向けには、特定IPアドレスに例外を設ける。
<Location /downloads>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 500
</Location>2. 特定ページの帯域制限を柔軟に設定
ブルートフォース攻撃を受けやすいログインページなどは、特に厳しい制限を設けるのが効果的です。
ベストプラクティス:
- ログインページ(例:
/wp-login.php)に対して帯域制限を低めに設定する。 - 通常のWebページには影響を与えないよう、ディレクトリごとに制限を分ける。
<Location /wp-login.php>
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 50
</Location>3. 一部のIPアドレスには制限を設けない
管理者や特定のクライアントIPからのアクセスには帯域制限を適用しないように設定することが重要です。これにより、サイト運用に必要な管理作業が円滑に進みます。
<Location />
SetOutputFilter RATE_LIMIT
SetEnv rate-limit 300
SetEnvIf Remote_Addr "^192\.168\.1\.50$" rate-limit 0
</Location>4. パフォーマンスへの影響を定期的にモニタリング
mod_ratelimitを適用することでサーバーのリソース使用率が変化する場合があります。過剰な制限がかかっていないか、定期的にモニタリングしましょう。
ベストプラクティス:
- アクセスログを解析し、どの程度の帯域制限が効果的かを判断する。
- リアルタイムモニタリングツール(
htopやapachetopなど)を利用して、サーバー負荷を監視する。
htop
apachetop5. 事前に負荷テストを実施する
mod_ratelimitを導入した後は、実際に負荷テストを行い、制限値が適切かを確認します。特にトラフィックの多いサイトでは、設定のミスが即座にサービス低下につながるため、導入前のテストが欠かせません。
負荷テスト例:
ab -n 1000 -c 10 http://example.com/downloads/file.zipab(Apache Bench)を使い、模擬的に大量のアクセスを発生させて帯域制限が適切に動作するかを確認します。
6. 他モジュールとの競合を避ける
mod_deflateやmod_evasiveなど、他のモジュールとmod_ratelimitが競合する可能性があります。特にデータ圧縮モジュール(mod_deflate)を併用する場合は、制限の適用順序を考慮しましょう。
ベストプラクティス:
- mod_deflateを先に適用し、その後mod_ratelimitで帯域を制限する。
- アクセス制限(mod_evasive)は、mod_ratelimitよりも前段で働くように設定する。
AddOutputFilterByType DEFLATE text/html text/plain text/xml
SetOutputFilter RATE_LIMIT7. 制限をダイナミックに変更する
特定の時間帯やイベント期間中に帯域制限を強化・緩和する場合、スクリプトで動的に設定を変更するのが効果的です。
スクリプト例:
#!/bin/bash
if [ "$(date +%H)" -lt 9 ] || [ "$(date +%H)" -gt 18 ]; then
sed -i 's/rate-limit 500/rate-limit 200/' /etc/apache2/sites-available/000-default.conf
else
sed -i 's/rate-limit 200/rate-limit 500/' /etc/apache2/sites-available/000-default.conf
fi
systemctl reload apache2- 上記スクリプトは、業務時間外に帯域を200KB/秒に制限し、業務時間内には500KB/秒に戻します。
8. Apache再起動後の動作確認
設定変更後は必ずApacheを再起動またはリロードして、設定が反映されているか確認します。
sudo systemctl reload apache2まとめ
mod_ratelimitは非常に柔軟で強力なモジュールですが、適切な設定が求められます。特定ディレクトリやIPに対する帯域制限の調整、不正アクセスへの対応、運用時の監視を徹底することで、安全かつ安定したサーバー運用が可能になります。
まとめ
mod_ratelimitを活用することで、Apacheサーバーの帯域幅を効果的に管理し、DDoS攻撃やブルートフォース攻撃などの脅威を軽減できます。本記事では、mod_ratelimitの導入から基本設定、具体的な運用例、他モジュールとの連携方法までを解説しました。
適切な帯域制限を設けることで、サーバーの安定性が向上し、すべてのユーザーに公平なアクセス環境を提供できます。今後の運用では、定期的なログ確認や負荷テストを行い、環境に合わせて設定を最適化することが重要です。
mod_ratelimitを駆使して、サーバーの安全性とパフォーマンスを最大限に引き出しましょう。
コメント