[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:9628] NTT WebCaster 3100SV は DoS に弱い?

たりきです。いつもお世話になっています。

さて、標題の通りなんですが・・
先日、中国方面から DoS を受けました。
DoS の手法が SYN Flood なのか単なるコネクションの張りっぱなし
なのかは読み取れませんでした。が、SYN Flood のツールがむこうで
よく使われているらしいので、もしかするとシンフラだったのかも。
(サーバ側に到達せず、ルータが一杯イッパイになっていたので
ログがちゃんと残っていませんでした)

サーバは何ら問題なく稼動していたんですが、ADSL ダイヤルアップ
ルータとして使っていた WebCaster 3100SV の NAT テーブルが一杯に
なってしまい、新規接続を受け付けなくなっていました。
(一時的に NAT の設定を書き換え、Port80 を閉じたところ全て破棄
されて復帰しました)

面白いことに「どんな相手なんだろう?」とログから接続モトと思しき
アドレスを拾ってポートスキャンかけたら、すぐに接続の嵐が止んで
しまいまいした。
2ちゃんねるの一部で噂されているように、特に中国からの攻撃では
Ping などを打ち返すと攻撃が止む、というのは本当なのかもしれません。

WebCaster 3100SV では NAT テーブルに 1024 件しかデータを持てず、
外部からの接続要求を受けてテーブルに一時的に保持する有効期限が
切れるまでにそれらを一杯にすると、簡単に DoS が成立します。
(9000 秒といった有効期限が設定されるため、五秒に一回の接続を
要求しつづけるだけでも OK のようです)

受けた攻撃(?)では毎秒〜三秒に一回くらいの破棄ログが残されており、
それ以上の頻度で接続要求を送っていたんだろうな、と推測するところ。
サーバ側では httpd などにログが残っていなかったため、おそらくは
TCP/IP で接続が成立したあと何も送らずに接続を切ったか、あるいは
タイムアウトするまで放置したというところでしょう。

#お遊びのサーバなので標準的なログしか取っていない

その他、WebCaster 3100SV ではログの保持件数が少なく、すでに DoS
を食らっていたときのデータは流れてしまっています。
やっぱり基本的には「ADSL を何台かで接続共有する」ためのもの、と
考えたほうがいいんですかねえ。
一応は NTT に問い合わせて「WEB鯖作ったりするんだけど」と訊いて
オススメのものを選んでもらったはずなんですが。わらい。

#10秒に一回の頻度でアクセスがあるページだと一日一万HITくらいは
#軽くクリアするサイトだと思うんで、そこまでの要求には対応して
#いませんよ、ということなのでしょう

みなさんのところはそういった攻撃(?)などに晒されたとき、どういった
対応をしていますか?

----------------------------他力本願堂本舗---------------------------
    小規模稼動中WEBサーバ/新規納品物対象 ペネトレーションテスト等
               Mailto:tarikihongandou@xxxxxxxxxxxxxxxxx
              サーバー防衛大學校(a.k.a カレー本)でてます。
---------------------------------------------------------------------


--[PR]------------------------------------------------------------------
    ┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓
    ┃★┣┫豪┣┫華┣┫賞┣┫品┣┫独┣┫り┣┫占┣┫め┣┫★┃
    ┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛
        ▼▼▼   アナタだけに当たります!   ▼▼▼
      http://www.fukubiki.com/regist.html?aid=frml050701
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp