3月28日の深夜から30日の明け方まで、当サイトを公開しているWebサーバに対して、SYN flood攻撃が行われました。
Webサーバそのものの負荷は増えませんでしたが、ルータのNATテーブルが溢れて応答不能になる状態が発生し、ルータからの応答が無くなるという形で攻撃が顕在化しました。
(ISPとの接続ルータのため、自宅からネットに繋がらない事象となりました)
攻撃をブロックしたところ6時間程で攻撃は止まりましたが、対応で土曜を潰されて頭にきたので調査した攻撃元の情報を晒しておきます。
攻撃元のアドレスは以下の3つだけでしたので、逆引きサイトで調べた所では全てドイツのプロバイダ「velia.net」の配下にあるアドレスでした。
| 85.195.109.195 | ASN | : | AS29066 velia.net Internetdienste GmbH |
| Hostname | : | 情報なし | |
| 85.195.109.199 | ASN | : | AS29066 velia.net Internetdienste GmbH |
| Hostname | : | am.file-teleport.com | |
| 85.195.114.11 | ASN | : | AS29066 velia.net Internetdienste GmbH |
| Hostname | : | file-teleport.com |
アドレスの具合から見て、このプロバイダから払い出されたアドレスが付与されたサーバが攻撃に使われていたと思われます。
ホスト名として出てきたfile-teleport.comを開くと、応答はありますが白紙ページが表示されます。
次いで、ホスト名「file-teleport.com」から登録元を正引きして行くと、レジスタと管理者は「TV over Net Ltd.」というロシア企業、技術連絡先は「First Ukrainian Internet-Registrar LLC」というウクライナのホスティング企業であることが分かりました。
85.195.109.199と85.195.114.11は出元が見えてきましたが、85.195.109.195は逆引き結果でホストが分かりませんでした。
しかし、85.195.109.199と第三オクテットまで同じアドレスですので、「file-teleport.com」を構成するシステムの一つであろうかと思われます。
おそらくは、「TV over Net Ltd.」が「First Ukrainian Internet-Registrar LLC」でホスティングしている「file-teleport.com」配下のサーバ(ファイル宅急便みたいなサービスでしょうか?)が踏み台にされて、当サイトへの攻撃に使用されたと推測されます。
本当の攻撃元は「file-teleport.com」の先に居ますが、経路的にはこれ以上の追跡は不可能です。とはいえ、踏み台化されたサーバを放置している企業側にも十分責任があると思います。
現在の職場に移ってからは外部からの攻撃に対処をする仕事は無くなりましたので、久々にインターネット経由の攻撃を調査する週末となりました。
コメント 2件
kleinpanzer のコメント:
2014年3月31日
kleinpanzerです。
こんばんは。弊サイトへのコメントありがとうございました。
自衛隊シリーズ、着々と進んでおられて何よりです。年度末を越えると、時間的・精神的な余裕が出てくるうえに気候もよくなるので、作業が進みますよね。これからの展開が楽しみです。
それにしても、サーバー攻撃への対処、大変だったですね。でも、サイバー警備隊よろしく、ご自分で直ちに対応されるあたり、さすがプロフェッショナルだと感心しました。
管理人 のコメント:
2014年4月1日
kleinpanzerさん
コメントありがとうございます。
自衛隊シリーズはリリースされる速さに作る速度が追いつかない状態が続いています。
元来、じっくり作る派ですので、浮気をせずに一個ずつ仕上げていこうと思います。
サーバへの攻撃はさほど珍しいことではなくて、昔から侵入を試みる攻撃は受け続けています。
攻撃ポイントに対して適切な設定で守りを固めれば破られることはありませんが、今回受けたサービス拒否攻撃が来ることは想定していませんでした。
個人サイトしかホスティングしていないサーバを攻撃して何がしたいのか意味が分かりませんが、迷惑行為であったのは確かです。
ただし、今回のケースにより攻撃を受けた時に発生する事象や原因の切り分け方法は理解しましたので、大した被害もなかったことを考えると良い演習になったと思います。