絶賛DoSアタックされまくり中!!! ロールズ陥落寸前!?

こんばんは、ロールズの辻本です。

今年になってからロールズのホームページにつながらないことが多くなったと、感じていらっしゃる方が多いと思われます。先日、カナダから攻撃を受けているという記事を投稿しましたが、攻撃の基本姿勢が見えてきたのでお伝えします。

1.スパム投稿にやってくる(WordPressのブログと判断してやってくる模様)
2.書き込めるならやりたい放題して帰る ←(注1)
3.書き込めない場合は、相手側のサービスを落とすためDoS攻撃を開始
4.相手側のサービスがとまったことを確認して去っていく(なんといういやらしいw)
5.もし3が拒否された場合は、IPアドレスを変えて攻撃し4へ(うざいw)

一連の流れはこれで、このサイクルが1日に3回ほど発生しています。このうち、最も重要なのは「(注1)」が有効なら、つまり書き込めればアタックはしないという点です(ルイヴィトンがドタラコタラとかというスパム広告が数十件書き込みとして残ってましたが、管理者承認されないので皆さんには見えません)。今まではこの書き込みできたという事実によって、ここ数日に受けているほど酷い攻撃はされていなかったと思われます。
しかしロールズでは、先日スパム投稿対応を実施し、日本語の書き込み且つURLが含まれない投稿以外は無効になるように対策しました。そのため、今まであまりなかった3以降の攻撃フェーズを常に被ることになったようです。もうまさに対策はイタチゴッコで、すでに攻撃側のIPは15個以上に拡大しています。割当国もさまざまですが、基本は外国のゾンビサーバやOVHの乗っ取られサーバが発信源なので、攻撃者がリモートに操って攻撃させているものだと思います。

こちらのmakufontサーバは淡々を仕事をしていて、何ら問題ありません。健康状態もきわめて良好です。しかしADSL回線と接続されたルータ上で、前述の攻撃を受けた場合に、NATテーブル(内外ネットワークの変換をするための台帳のようなもの)がオーバーフローを起こします。これはスパム書き込みを受け付けなかった腹いせにWEBサービスをダウンさせてやろうという攻撃者の意図の通りと思われます。

現状ではオーバーフローが起きた場合、NATテーブルの接続有効時間の指定秒数が経過するまで、新規のアクセスを受け付けることができなくなってしまい、外部からはサーバがダウンしたように見えます。1秒間に10回(海外からなので遅い)ほどの要求が到達しているように見えるため、5分以内にはNATテーブルを埋め尽くします。こちらが攻撃元のIPアドレスを強制アクセス拒否にすると、ルータ上でこれら要求は破棄されるので、それ以降NATテーブルが急激に消費されることはなく、2.5時間の不通時間を経てアクセスができる状態に回復します。攻撃元は対策されてしまったIPアドレスの遠隔PCを捨て、別の国の遠隔PCを乗っ取りまた攻撃を繰り返します。このループです。今日まで連日攻撃にさらされています(この記事作成中にも37.59.24.20から攻撃を受けています、もうかれこれ1時間以上続いています。本日の12時ごろから19時ごろまでの不通状態もこの攻撃が原因です。このIPは21時30分ごろに対策済です)。

このような状況のため、ここしばらくは、訪問者各位にご不便をおかけすることがあると思いますが、現在対策を検討中ですので何卒ご容赦をお願いいたします。NATテーブルを埋めつくすことでサービスを止める作戦では、事実上サーバは止まりません。したがって、2.5時間後に即座に未対策のIPから攻撃が再開されない限り、ロールズのWEBサービスは復帰します。「数時間を置いて再度アクセス願います。」と先日案内させていただきましたが、理論上の数字がでましたので具体的に2.5時間後と改訂いたします。

国鉄方向幕書体のダウンロードのみを目的でお越しになった方は、次のミラーURLにてフォントファイルを公開しておりますので、そちらからダウンロードをお試し下さい。ロールズのホームページが見られないのでダウンロードができないという方がいらっしゃった場合、このURLを案内していただいて構いません。このファイルはインターネットプロバイダのレンタル領域ですので、仮にロールズが海外より攻撃を受けていても、問題なくアクセスできると思います。

国鉄方向幕書体ダウンロードミラー http://blue.zero.jp/rolls/jnrttf121.zip

宜しくお願いいたします。

絶賛DoSアタックされまくり中!!! ロールズ陥落寸前!?” への2件のコメント

  1. もういっそのこと.htaccessファイル使って日本以外からのアクセスを弾いたらどうでしょうか?

    • あべっちさん、ご指摘ありがとうございます。「海外規制」もちろん選択肢になりえます。過去にも海外規制を行ったことがあります。しかしできるならば、サーバ本体への設定ではなくそれよりも手前のファイアウォールとして対策したいです。NAT変換ルータをブリッジへ格下げして、さらに性能のよいルータをブリッジとサーバの間に入れ、ここで対策すればどうかと考えています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

スパム投稿への対策のため、日本語全角文字が2文字以上なければエラーとなります。