Q&A
こちらの質問が他のユーザから「質問の範囲が広すぎる」という評価を受けています
わからない点を明確にし、調査したこと・試したことと共に記入していただくと、回答が得られやすくなります。
運営しているサーバーがDDoS攻撃の踏み台として利用された可能性があり、
その対策についてご質問です。
サーバー環境:
Amazon Linux(AWS)
nginx
DDoS攻撃の踏み台対策として、どのように行うものなのでしょうか。
担当がいなくなり、急に対応しなくてはならなくなったのですが、
サーバーに関してはあまり経験がないので、優しくご教授いただけますと幸いです。
DNSキャッシュサーバーや権威サーバー、オープンリゾルバなど、
自分でも理解できるように調べてはおりますが、
少し緊急を要しますのでこちらに問い合わせた次第です。
説明のあるリンクをお貼りいただくだけでも構いません。
よろしくお願いします。
こちらの質問が他のユーザから「プログラミングに関係がない質問」という評価を受けています
teratailでは、プログラミングに関して困っていることがないと思われる質門を推奨していません。
具体的に困っている理由や解決したいことを明確に記入していただくと、回答が得られやすくなります。
質問の「利用された可能性」の部分をもう少し具体的に書いてください。
まずはほかの方のコメントの通り、NWレベルで、IPアドレスやポート番号で通信制限するのが必須です。
何らかのアプリ・サービス(=ソフトウェア)が動作している場合は、
当然、コード(ロジック)自体の見直しが必要です。
NWとアプリでは、方向性も内容も全く異なるので、「優しく」回答を得たいのなら、情報提供をお願いします。
回答3件
0
サーバ構成や運用されているサービスが分からないのでどうにも言えません。
なので、以下は「私ならまずこうする」です。
DDoSの踏み台になっている事がわかっているのであれば、
まずネットワークを遮断して対策を行うことが必要です。
*当然サービスは停止してしまいますが、加害者であり続けるよりは多くの場合でマシなはずです。
次に、iptablesで日本国内以外からのアクセスを遮断します。
DDoSの場合は海外発の攻撃であることが多いので、運がよければこれでしばらくの間なんとかなります。
*googleのクローラーがクロール出来なくなったり、海外からのアクセスが出来なくなったりします。
iptablesで何とかなったら、サーバを運用するのに必要な対策を全て行います。
*サーバ構成やサービス設計、運用との兼ね合いもあるので一概に正解は出せません。
*iptablesで何とかならなかったら、一定以上のアクセスがある「怪しいIP」をブラックリストに登録してサーバにアクセス出来なくなるようなスクリプトを書いて時間稼ぎが出来る状態にします。
適切なセキュリティ設定を行うことはインターネットにサーバを公開している限りは義務だと考えますので、対応出来る担当者が居ないのであれば上記の様な方法で時間稼ぎ出来る状態にしつつ、速やかに専門家に依頼を行うのが最善だと考えす。
投稿2016/01/05 05:45
総合スコア18711
0
ベストアンサー
踏み台にされたと言う事は、何らかの形でサーバーへの侵入を許している可能性が有るわけです。
まずは当該サーバーをネットワークから遮断して、他所様のサーバーに被害を与えない様にするのが第一です。
次にログを精査して、不審なアクセスを割り出して、クラックされたと思われる経路やアカウントの把握に努めましょう。
またサーバーが提供しているコンテンツが書き換えられていないかや、ライブラリやデーモンが書き換えられていないか等の確認も必要です。
意図していないデーモンが起動していたり、意図していないポートをリッスンしていないかも要注意です。
サーバーのアプリケーションが判らないのでなんとも言えないのですが、仮にWebサーバーとしてだけ動作しているのであれば、ポート 80/443 以外をリッスンしていればそいつはかなり怪しいと判断できます。
FWやSWで外部提供しているサービスのポートとプロトコルのinboundは全部遮断する。
当該サーバが必要としない外部サービスのポートとプロトコル(25/SMTP等)も同じように遮断すべきです。
Webサービスであればサービス提供をCloudFlare等のCDN経由で提供する等すると、CDN側で不正なアクセスを遮断してくれるので、攻撃に対する強度が上がります。
投稿2016/01/12 05:01
総合スコア199
あなたの回答
tips
プレビュー
