Q&A
返信ありがとうございます。
ですよねー。網側では、ブラックホールに落とすとか聞いたことあるのですが、
サーバー側の対策って聞いたことないんですよね...
CentOS7にNginxを走らせてwebサーバーを運用しています。
(さくらのVPSを使用)
先日DDoSアタックを受けて、サーバーが遮断されました。
DDoSアタックを受けない様にするための対策手段として何ができるでしょうか?
サーバー側から以下の情報は提示されています。
なお、さくらインターネット側では、攻撃をしたIPからのアクセスは遮断してくれるようです。
srcip mbps pps asn cc
... 19.9 1638 20771 GE
... 19.9 1638 42583 RU
..*.*はIPアドレスで色々な国から攻撃を受けていることがわかりました。
proto dstport length mbps pps
udp 0 >1500 1979.6 163020
udp 336 >1500 9.9 819
udp 1747 >1500 9.9 819
回答3件
0
DDoS攻撃においてはサーバー側では落ちないようにするぐらいしか手がありません。
しかし、サーバーが落ちなくても回線の帯域を埋められてしまうため、この状態では実質サービスが停止しているのと差が無い状態になります。
根本的な対策としては他の方も書かれていますが、リクエストがこちらに来ないようにするしかありません。FWで防ぐにも帯域を埋められていてはユーザーからのアクセスがサーバーに到達しづらい状態になります。
私の経験ではHTTPのリクエストだけで3G程の帯域を埋められたので上流が1G程度では太刀打ちできませんでした。
当時は上流をIIJ経由にしてDDoS対策のサービスを導入してリクエストをフィルタリングしてもらいました。
費用はその時はおおよそ10万円/月でした。
現在は、自前でDDoSを防ぐアプライアンス製品を入れているので、今でもその価格かまでは分かりません。
投稿2016/08/29 00:25
総合スコア25
0
ベストアンサー
DDOSは攻撃元が不特定なので、完全に防ぐことは難しいです。正規利用者側を絞り込めればそれが望ましいです。これは利用者側の都合がわからないと策を講じようがありません。また、どうしても窓口になる部分は外部に開けていないとサーバの用を足しません。
この辺りについてまずは方針をまとめないと答えは出ないはずですよ。
投稿2016/08/28 14:36
総合スコア4830
ちなみに(根本解決ではありませんが)ハードウェアFWなりで不要なポートへの接続要求を無視したりすることはできます。
「サーバを守るだけ」ならばこれも一つの方法です。ただし、FW自体への負荷とか回線輻輳の危険性も残るわけで根本解決にはなりません。
ありがとうございます。回線が詰まると結局ダメなのでその策は難しいですね。
0
DDoSは、帯域を埋めに来る攻撃であるため、パケットがサービスの入り口に届いた時点で負けです。
そのため、届く前の網内で制御する必要があるのですが、そのようなサービスはかなり高いです。
VPSで成立するサービスがDDoSのターゲットとなる事は稀だと思いますが、ターゲットとなるようなコンテンツが有るのであれば、それを制限してはいかがでしょうか?そちらのほうが現実的だと思います。
投稿2016/08/28 14:34
退会済みユーザー
総合スコア0
ターゲットとなるようなコンテンツですか...一応会員サイトやってるので、メアドとパスワードとかはありますけどそれですかねぇ...
何を狙ってたか調べる方法はありますかね?
(具体的にどこにアクセスしていたとか)
そのあたりがわかるように簡単に網は張れないものでしょうか?
サービス停止を狙った攻撃なので、メアドやパスワードを狙ったものではないです。
公開しているコンテンツに対して何らかのメッセージ(一般的には「公開するな!」)を込めた攻撃なので、何がしかそういった行動を誘発する物があるのではないかと思います。
あとは競合の嫌がらせとか。
返信ありがとうございます。今回ピンとこないので、偶発的なDDosということにしておきたいと思います。ありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/08/29 11:06