3月28日の深夜から30日の明け方まで、当サイトを公開しているWebサーバに対して、SYN flood攻撃が行われました。

Webサーバそのものの負荷は増えませんでしたが、ルータのNATテーブルが溢れて応答不能になる状態が発生し、ルータからの応答が無くなるという形で攻撃が顕在化しました。

(ISPとの接続ルータのため、自宅からネットに繋がらない事象となりました)

 

攻撃をブロックしたところ6時間程で攻撃は止まりましたが、対応で土曜を潰されて頭にきたので調査した攻撃元の情報を晒しておきます。

 

攻撃元のアドレスは以下の3つだけでしたので、逆引きサイトで調べた所では全てドイツのプロバイダ「velia.net」の配下にあるアドレスでした。

 

85.195.109.195 ASN AS29066 velia.net Internetdienste GmbH
Hostname 情報なし
85.195.109.199 ASN AS29066 velia.net Internetdienste GmbH
Hostname am.file-teleport.com
85.195.114.11 ASN AS29066 velia.net Internetdienste GmbH
Hostname file-teleport.com

 

アドレスの具合から見て、このプロバイダから払い出されたアドレスが付与されたサーバが攻撃に使われていたと思われます。

ホスト名として出てきたfile-teleport.comを開くと、応答はありますが白紙ページが表示されます。

次いで、ホスト名「file-teleport.com」から登録元を正引きして行くと、レジスタと管理者は「TV over Net Ltd.」というロシア企業、技術連絡先は「First Ukrainian Internet-Registrar LLC」というウクライナのホスティング企業であることが分かりました。

正引き結果

 

85.195.109.199と85.195.114.11は出元が見えてきましたが、85.195.109.195は逆引き結果でホストが分かりませんでした。

しかし、85.195.109.199と第三オクテットまで同じアドレスですので、「file-teleport.com」を構成するシステムの一つであろうかと思われます。

 

おそらくは、「TV over Net Ltd.」が「First Ukrainian Internet-Registrar LLC」でホスティングしている「file-teleport.com」配下のサーバ(ファイル宅急便みたいなサービスでしょうか?)が踏み台にされて、当サイトへの攻撃に使用されたと推測されます。

本当の攻撃元は「file-teleport.com」の先に居ますが、経路的にはこれ以上の追跡は不可能です。とはいえ、踏み台化されたサーバを放置している企業側にも十分責任があると思います。

 

現在の職場に移ってからは外部からの攻撃に対処をする仕事は無くなりましたので、久々にインターネット経由の攻撃を調査する週末となりました。