DDoS攻撃の現状と対策について

GMOのVPSからさくらのVPSに引っ越して一安心していたところ、直ぐにまたDDoS攻撃によってネットワークを遮断されました。

しかも2度もです。

うちのようなサーバに攻撃したって、まったく何の利益にもならない迷惑行為を何故行うのか甚だ疑問です。意味が分かりません。

死ねばいいのに。

で、通信が遮断された日時としては、さくらから届いたメールを引用すると

1回目

DoSアタック検知時刻 ：2016年08月28日 01時57分08秒
通信遮断時刻 　　　　：2016年08月28日 01時57分11秒
通信遮断処理解除時刻 ：2016年08月28日 13時41分16秒

2回目

DoSアタック検知時刻 ：2016年08月28日 13時51分16秒
通信遮断時刻 　　　　：2016年08月28日 13時51分27秒
通信遮断処理解除時刻 ：2016年08月29日 02時39分21秒

という事でした。

ご覧の通り、GMOと違ってVPSの契約は1発アウト！って事にはならず、どうやら自動で「検知→通信遮断→攻撃が止めば解除」みたいな動きを自動的に行っている様子です。

何故ならこの間に届いた通知メールに返信をしても返事が無いので。でもこれだけでもGMOより高い費用を払ってる価値があるってもんです。

ただ、一度遮断されると12時間程度通信できない状態になるのも嫌なので対応を考えました。

今回さくらが割と詳細なログを送ってくれたことで、この度の攻撃がよそ様でも受けていたらしいDNSへの集中攻撃であること、攻撃元が100サーバ前後であること、全てが海外サーバであること、が分かりました。たぶん世界に散らばってるオープンリゾルバなDNSキャッシュサーバ達を踏み台にして一斉攻撃をかけるのでしょう。

お前ら他にやる事ないのかと。

で本日、本業の仕事で精神的に弱ってましたが、下記を実施しました。

• すべてのサービスポートに対して日本国内アクセスに限定
  これは次項の検証が完了するまでの暫定措置です。ちょうど本業も山場を迎えるため何とも言えませんが、概ね2週間前後で考えています。
  この間、海外からのWebアクセスやメールの着信ができません。
  家Tユーザーの方々には申し訳ありませんとしか言えませんが、また全停止になる可能性を少しでも低くしたいのでご理解下さい。
  ただしGmailなどのGoogleのネットワークは個人的な都合で解放しています。
• DNS,HTTP,HTTPSに対してアクセス元のIP毎に接続数の制限を設ける
  これまでは、ブルートフォース攻撃などの認証を伴う大量アクセスに対しては、ログを監視する事で認証エラーをトリガーに自動で弾いていましたが、DOS攻撃のような認証を伴わないものには無力でした。
  このため、アクセス元のIP毎に一定時間での接続数制限を設け、これを超えた場合は自動的に接続数を制限する事で攻撃の効率を下げます。要するにiptablesのhashlimitモジュールを使用します。
  まずは、正常なクライアントからは通常通り利用できるであろう閾値で様子を見たいと思います。現状だとちょっと緩めかもしれませんが。
  FTP,SSH,IMAPに関しては元々国内限定にしていたのでこの対応からは除外しています。SMTPもメールサーバ側でレート制限かけてるのでまずは無しで。

というわけで、少し様子を見させて下さい。

最近度々止まってしまってごめんなさい。正直疲れてきた。