ウチのホームページがDoS攻撃受けてました
ここ数日レスポンスが悪いと思ったら
9月末頃からでしょうか?このホームページのレスポンスがやけに悪く、全く無応答になってしまう時もありました。サーバーの調子が悪くなったかのかな?と思っていたのですが、平日は思うように時間が取れないため放置状態だったのですが、昨夜アクセスログを調べたところDos攻撃を受けていたことが分かりました。
典型的なのが以下です。
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/0.gif HTTP/1.1" 200 211
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/0.gif HTTP/1.1" 200 211
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/6.gif HTTP/1.1" 200 159
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/6.gif HTTP/1.1" 200 159
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/0.gif HTTP/1.1" 200 211
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/6.gif HTTP/1.1" 200 159
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/6.gif HTTP/1.1" 200 159
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/0.gif HTTP/1.1" 200 211
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/0.gif HTTP/1.1" 200 211
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/6.gif HTTP/1.1" 200 159
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/6.gif HTTP/1.1" 200 159
116.68.221.91 - - [03/Oct/2015:08:32:44 +0900] "GET /counter/img/0.gif HTTP/1.1" 200 211
〜以下略〜
|
同一IPアドレスから、短時間に何度も(数十〜数百リクセスト/秒)同一のGET要求が繰り返されていました。これによりウチのWebサーバが過負荷になり、極端にレスポンスが悪くなったり、タイムアウトでホームページ表示がされなくなったりしていました。
また、攻撃者のIPアドレスは日時によって異なり、whoisで調べたところ何れも日本の大手プロバイダ(J:C○MとかK□□Iとか)のIPアドレスなのですが、複数のプロバイダであることがも分かりました。
一人の攻撃者が複数のマシンと複数プロバイダとの契約回線を持っているとは考えにくく、何らかのウィルス(ボット)に感染した複数のPCがDoS攻撃の踏み台にされていると考える方が自然でしょう。現に、こちらが何ら対策を施していないくても突然攻撃が止み、その後に別のIPアドレスで同じ攻撃が再開されている様子も見て取れました。
対策として当該IPアドレスはブラックリストに入れてホームページの応答を拒否し、中でも執拗な攻撃を仕掛けてきていたIPアドレスはルーターで遮断するようにしました。しかし、感染PCにプロバイダが割り当てているIPアドレスが変われば別のIPアドレスからの攻撃が来ることになるので、この対策ではイタチごっこになってしまいます。だからと言って、もっと広範囲のIPアドレスからのアクセスを遮断してしまうと感染していない無関係のPCからのアクセスも遮断してしまうことになります。
同一IPアドレスからの連続アクセス数で制限をかけるとかを考えないといけないかと思っているのですが、詳しい設定方法が分からなくて、現時点での対策は先のブラックリスト方式だけです。
と言うわけで、もしホームページが無応答になっていても、ワタシは生きてま〜す(^^;)。御心配なく。
|