ブロックチェーン・AI・システム開発の株式会社INDETAIL

DoS攻撃を受けた場合の対処方法

2015.09.10
kirksencho

札幌は最近になって朝晩冷えるようになってきました。
昼間は暖かいので寒暖の差で体調を崩さないように気をつけているkirksenchoです、こんにちは。

さて、私のインフラ系ブログ三回目は、WEBサーバ管理者なら、誰でも経験のあるDoS攻撃について書きたいと思います。

DoS攻撃ってなに?

Denial of Service attackの略称ですが、WEBサーバなどに猛烈にアクセスしてサービスの提供を妨害する攻撃です。

無名なサイトですと、ターゲットにされる事もあまり無いですが、弊社のWEBサイトにも攻撃が来るようになってきました。
弊社も有名になってきたのかと思い、嬉しいような嬉しくないような微妙な感じではあります。

DoS攻撃されるとどうなる?

まずHPが開きにくくなります。
酷くなると、サーバOS自体が動作不能に陥り、ネットワーク経由のSSH接続すらできなくなります。

DoS攻撃された後にすべき事は?

SSHでログインもできないようであれば、OSがもう動作不能になっているので、まず再起動した方が良いです。
弊社の場合は、SAKURAさんにサーバを借りているので、WEBでログインしてコンソールを直接見ました。

すると、コンソール画面にはメモリ不足の警告が出ており、リソースを食いつぶしているhttpdのプロセスがLinuxの機能によって自動でkillされている警告も出ていました。

コマンドで再起動させる事もできない状況でしたので、強制再起動ボタンをポチっと押して、無事にLinuxが起動してくることを願ったのでした。

OS起動と同時に必要な各種サービスが自動起動されるように設定しているので、これだけで復旧はしましたが、きちんと原因を調査して対策も打たねばなりませんね。

DoS攻撃の調査ってどこを見るんでしょう?

調査の第一段階

何はともあれ、まずはログの確認ですね。
サーバが落ちた時には、まだDoS攻撃が原因かどうかは不明なので、まずはカーネルのログを見ます。

まずここに手がかりがありました。
弊社は全てのサーバをZABBIXで監視しているのですが、アラートメールが飛び始めた時間帯にまっすぐ飛んでみると、物凄い大量のhttpdのプロセス数が記録されていました。
Linuxは、プロセスが異常な状態になると、psコマンドの結果もログに残してくれるようです。

この時点でまず、WEBサーバに物凄い大量のアクセスがあったのが原因なんだなという事が予想できます。

調査の第二段階

というわけで、次に確認するのは、WEBサーバのログです。

上記の様な感じで、サーバに存在しているWEBサイト別のログファイルを一個一個見ていきます。
ここでもZABBIXが教えてくれた時間帯をめがけて探せば、すぐにたどり着けます。

そうすると証拠がありました、特定のページに同時に1000アクセス以上要求が来ており、全て同じIPアドレスからのアクセスでした。

調査の第三段階

攻撃元が一箇所なので、DDoS攻撃ではなく、DoS攻撃なのが分かりましたが、その攻撃元がどこなのかをJPNICで検索します。
すると中国で管理されているIPアドレス帯に含まれているIPアドレスでした。

一般的に攻撃者の多い国として、中国やロシアや韓国などがありますが、特に中国は多いですね。
中国に踏み台を作って、他国から攻撃している可能性もありますが、どちらにしても中国からの攻撃という事で対処すれば良さそうです。

対処方法について

弊社はまだ、中国向けにはWEBサイトを公開しておりませんので、中国からのアクセスを一括で拒否するのが、一番簡単でコストもかかりません。
ただ、中国のIPアドレス帯を調べて、個別に手動でアクセス拒否設定を入れていては大変なので、便利なapacheのモジュールを利用します。

mod_geoipの利用

検索すると沢山情報が出てきますが、このあたりのサイトが参考になると思います。
mod_geoipをWEBサーバミドルウェアのapacheに設定すると、国単位で指定してアクセス拒否が簡単に実現できてしまいます。

設定を入れた後の動作確認については、中国でパブリックに公開されているプロキシサーバ等を経由して、WEBサーバにアクセスすればOKです。
プロキシ経由でアクセスして拒否されれば、設定が効いている事になります。

おわりに

今回はDoS攻撃された時の調査と対処方法について、まとめてみました。
大事な自社のWEBサーバが落ちてしまうと、かなり焦ってしまうこともあると思いますが、慌てず落ち着いて調査して、確実な対処を施す事が肝要ですね。

関連タグ:

kirksencho

主な職種:インフラエンジニア ハードからソフトまであらゆるインフラ面を担当させていただいてます。 社内では、ダーツ部、ボウリング部、フィッシャー部、肉部、スイーツ部、写真部等に所属しています。 ブログは主に地味なインフラ関連の記事を書いています。 宜しくお願いしますm(_ _)m

「いいね」ボタンを押すと、最新情報をすぐに確認できます。