DDOS攻撃は、突然やってくる。チェックと遮断

この記事は約3分で読めます。

サーバーダウンの通知がくる

あるとき、突然、サーバーダウンのアラートが鳴る。
ping,POP,SMTP,HTTP(S),FTPが、反応しない。
というエラー・・・

外部からチェックすると、たしかに、反応が鈍い。
時々、スムーズ。
時々、反応が悪い。
この「時々」がやっかいである。

サーバーダウンの原因を探る

サーバー外部の原因

・ルーティングがおかしい?
・物理的な故障?

などが発生しているのか?
と思い、サポートページを開いても、障害情報が出ていない。

サーバー内部の原因

・アクセスがすごい(負荷が高い)
・OSが異常な動作をしている。

などか。と思い、アクセスログをチェック。
「htop」コマンドで、チェック。
/var/log/messagesをチェック。

などをチェックしても、問題ないような気がする・・・

DDOS攻撃?

DDOS攻撃なのかな?
と思い、
netstatコマンドで調べる

上記の、2行目からの
XXX.XXX.XXX.XXX:25
の部分。この部分が、DDOS攻撃のチェックポイント。
25番のSMTPポートにアクセスがある・・・
XXX.XXX.XXX.XXX
は、このサーバーのグローバルIPアドレス。

攻撃元のIPアドレスは、右側の
YYY.YYY.154.242
の部分。

このIPアドレスを
ドメイン/IPアドレス サーチ 【whois情報検索】
で、検索してみます。

海外であること、など、通常、絶対にアクセスがないであろう。
ということをチェックします。

アクセス元を遮断

↑firewallコマンドで、攻撃元のIP帯(/27)をブロックします。

↑サービスを再起動

↑DDOS攻撃元からブロックされているのを確認します。

↑ブロックしたIP帯から、DDOS攻撃が無くなりました。
もう一つのIP帯からも、DDOS攻撃のアクセスをブロックします。

これで、DDOS攻撃が無くなったはず・・・

# netstat -tan

で、再チェックします。

そして、ping,pop,smtp,http(s),ftpが、正常に戻りました。

DDOS攻撃を予防・・・

DDOS攻撃を防ぐには、
fail2banというサービスがあります。
これは、またの機会に・・

タイトルとURLをコピーしました