質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

3回答

4478閲覧

aws DDOS攻撃がとまらなく困っています…

mint.cherry

総合スコア284

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

0グッド

1クリップ

投稿2016/06/21 08:48

編集2016/06/21 09:26

aws:amazon linux
DDOS攻撃を受けています。なるべくインスタンスに届くまでで攻撃を対処したいです。

httpdのログを確認して調べたところ中国からの攻撃でしたので日本以外はすべてはじくようにしたいです。
やったこと、
route53,cloudfront←ここを参考にしています。
・攻撃を受けているインスタンスに結び付けられているroute53にgeolocationをjapanにしました。
・cloudfrontを作成してホワイトリストにjapanを設定しました。
このどちらかを設定すると拒否するはずなのですが拒否できていません。

route53にgeolocationをjapanにしたら、日本以外のものはDNSの情報を渡さないのになぜ、渡してしまっているのでしょうか?

追記
route53-elb-ec2と言った形です。
ec2にはグローバルなIPは割り振られてはいないです。

以下のログです。なにが目的なのか知りたいです。

175.167.199.145 - - [21/Jun/2016:17:52:50 +0900] "POST /api/v4/sessionEnd HTTP/1.1" 404 58166 "-" "VungleDroid/3.3.4" 221.202.69.102 - - [21/Jun/2016:17:54:28 +0900] "POST /api/v3/config HTTP/1.1" 404 58118 "-" "Vungle/3.1.2;native" 153.34.154.27 - - [21/Jun/2016:17:52:44 +0900] "POST /api/v3/config HTTP/1.1" 404 58118 "-" "Vungle/3.1.2;native" 153.34.154.27 - - [21/Jun/2016:17:54:45 +0900] "POST /api/v3/config HTTP/1.1" 404 58118 "-" "Vungle/3.1.2;native" 113.229.164.189 - - [21/Jun/2016:17:53:11 +0900] "POST /api/v4/requestAd HTTP/1.1" 404 58154 "-" "VungleDroid/3.3.4" 42.59.123.36 - - [21/Jun/2016:17:53:44 +0900] "POST /api/v4/requestAd HTTP/1.1" 404 58154 "-" "VungleDroid/3.3.4" 122.96.233.97 - - [21/Jun/2016:17:55:11 +0900] "POST /api/v4/requestAd HTTP/1.1" 404 58154 "-" "VungleDroid/3.3.4" 60.17.174.14 - - [21/Jun/2016:17:54:54 +0900] "POST /api/v3/config HTTP/1.1" 404 58118 "-" "Vungle/3.1.2;native" 42.59.123.36 - - [21/Jun/2016:17:54:45 +0900] "POST /api/v4/config HTTP/1.1" 404 58118 "-" "VungleDroid/3.3.4" 175.150.98.117 - - [21/Jun/2016:17:55:11 +0900] "POST /api/v3/config HTTP/1.1" 404 58118 "-" "Vungle/3.1.2;native"

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

DDoSは標的に対して複数のマシンから大量の処理負荷を与えてサービス機能停止状態へ追い込む手法ですので、ログから見るとDDoSではありません。

特定のURLに対してPOSTを繰り返しているものは、脆弱性を突いた攻撃を狙ったものか、脆弱性スキャンです。
(無許可の脆弱性スキャンは攻撃と同じですが)

UAがVungleDroid/3.3.4、Vungle/3.1.2;nativeに固定されているので、
取り急ぎの対策としてはUAで弾けばいかがでしょうか。

SetEnvIf User-Agent "^VungleDroid/3.3.4" deny_agent SetEnvIf User-Agent "^Vungle/3.1.2" deny_agent <Location /> Order allow,deny Allow from all Deny from env=deny_agent </Location>

以下、追記
Route53側の対応が完了しているということであれば、ELBを新たに作成しそちらの配下にインスタンスを移動したらいかがでしょうか。新たにFQDNベースでIPが引かれる場合は防げると思います。
古いELBとは別のIPが付くので、IP Rangeで攻撃を受けていない場合は一旦は収まる事が期待できます。

投稿2016/06/21 09:47

編集2016/06/21 09:54
moonphase

総合スコア6621

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

mint.cherry

2016/06/28 09:40 編集

回答ありがとうございます。遅くなってスイマセン。 apacheのほうで処理させない方法でいま対処しています。正規ユーザーのVungleの方には申し訳ないですが。。。 elbを変えてIPを変更させて一時的に対処させるのもいいですね。 ドメインからIPを再度検索されたら。攻撃が始まってしまいますけど。。。 大変助かりました。ありがとうございます。 追記 複数からのIPの攻撃でwebサーバーがとまりましたが、DDOSとは呼ばないのですね。。。
guest

0

moonphaseさんが解凍されているように、
攻撃はhttp://IPアドレス で来ているのでは無いでしょうか?

その場合、インスタンスよりも上側で防ぐのは難しくなります。

Webサーバーとして、nginx や apacheを使っている場合、
リクエストがIPアドレスで来た場合に処理を行うVirtualhostを作成し、
同時コネクション数を少なくして上げれば、通常Webサイトへの攻撃低減が出来ると思います。

投稿2016/06/21 09:06

JunMatsumoto

総合スコア76

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

mint.cherry

2016/06/21 09:35

回答ありがとうございます。 むずかしそうですか…インスタンスにパケットが届いてしまったら、パケットインのリソースが少し増えますが、やむをえないという感じですね… apacheを使用しています。そのようなことができるのですね。少し調べてみます
guest

0

FQDNを利用してDDOSを受けているならRoute 53で回避できますが、
IPアドレスでDDOSを受けているならRoute 53では回避できません。
ログからHost:タグを確認できますか?

投稿2016/06/21 08:59

moonphase

総合スコア6621

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

mint.cherry

2016/06/21 09:28

回答ありがとうございます。 IPアドレスだと確かに、route53は無視されちゃいますね…気づかなかったです。 ログの情報を追記しました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問