web-dev-qa-db-ja.com

単純なDDOS攻撃を阻止するにはどうすればよいですか?

私たちに腹を立て、私たちに対してDDOS攻撃を開始したハッカーがいます。彼はDarkCometのようなツールを使用するスクリプトキディだと思います。攻撃はおそらく単純です。

PCでサーバーをホストしています。サーバーは私のパブリックIP上にあります。ルーターを使用しています。サーバーには、人々が接続するために転送されるポートがあります。プロキシなどがありますが、設定方法がわかりません

サーバーは人気があり、シャットダウンしたくありません。

攻撃を止める方法はありますか、それとも単に遅らせる方法はありますか?

networkingsecuritydenial-of-service
1
Martynas Skirmantas

DDoSに対処する最善の方法は、接続からできるだけ離れた場所から開始することです。そのような攻撃を可能な限りソースに近づけて遮断したい。

まず、使用されているIPアドレスとそのIPアドレスを確認し、遠端のISPに相談します。彼らが外国にいる場合、または世界中に広がっている場合、彼らは助けることができないかもしれませんが、それが孤立した地域である場合、あなたは運が良いかもしれません。

それが行き止まりの場合は、ISPにさまざまなIPのブラックホールを提供するように依頼できます。ほとんどの消費者向けアカウントにはこのオプションがありませんが、質問しても問題ありません。もちろん、サーバーを実行してそのプロバイダーのTOU(利用規約)に違反している場合を除きます。あなたは彼らが好まない方法で彼らの接続を使用することを認めるでしょう。彼らはあなたをシャットダウンすることを決定する可能性があります。

動的IPアドレスをお持ちの場合は、モデム/ルーターのバッテリーと電源コード(ISPに接続されているものであり、内部のものではありません)を引き出して、数分間そのままにしておくことができます。うまくいけば、新しいIPアドレスで更新し、DNSを更新するだけです。正当な顧客にも同じ問題が発生しますが、DDoSがあなたが引っ越したことに気付くまでにはしばらく時間がかかります。数分/時間で解決しますが、最終的にはうまくいくかもしれません。

ISPサポートの取得やIPアドレスの変更に取り掛かることができない場合は、ファイアウォールが必要になります。可能であれば、最寄りの店舗に行き、Niceハードウェアファイアウォールを購入してください。トラフィックタイプ/ IPアドレスなどに固有のドロップルールを持つもの。かなりの費用がかかりますが、疑わしいトラフィックをすべてドロップするようにファイアウォールを構成できます。ここでの利点は、ほとんどの接続のアップストリームキャップがダウンストリームキャップよりもはるかに小さいことです。したがって、パケットをドロップすることで、ping、naks、404などではなく、実際のページ訪問のためにアップストリーム帯域幅(訪問者に行く)を節約できます。起こっている。

ソフトウェアファイアウォールを試すことはできますが、それは優れたものでなければなりません。 Windowsファイアウォールは、ここでそれを削減するつもりはありません。 Linuxのようなものが必要です。そこでは、攻撃しているIPにドロップルールを構成できます。ネットワークに対して引き続き多くのダウンストリーム帯域幅を使用しますが、他のシステムが熱を帯びている間、サーバーは一息つくことができます。

また、デフォルトのポート80または443から非標準のポートにリダイレクト(302)する単一のファイルを使用して、サーバー上に別の仮想サーバーをセットアップし、そこでサービスをセットアップすることもできます。通常のブラウザは、次のページの読み込みにそれほど手間をかけずに新しいサービスにリダイレクトされますが、ボットはおそらくデフォルトのポートを叩き続けます。単純なHTTPリダイレクトは、本格的なページの読み込みよりもはるかに少ない帯域幅で済むため、攻撃の影響を減らすことができます。それは本当にDDoS攻撃スクリプトがどれだけインテリジェントであるかに依存します。彼らは単に302を無害に跳ね返す可能性があります。つまり、攻撃を大幅に拡大する必要があります。

最後に、他のすべてが失敗した場合は、サーバーの電源を10分間オフにして、何が起こるかを確認してください。 DDoSスクリプトは退屈して迷子になる可能性があります(可能性は低いですが、一見の価値があります)。ちなみに、コンシューマーグレードの接続で独自のサーバーをホストしている場合は、アップグレードする必要があります。コンシューマーグレードのパッケージは、アップストリームが(比較的)非常に小さく、DDoS、DNS、メールサーバー、およびその他の通常の問題に対するサポートがほとんどまたはまったく含まれていないため、ホスティングには適していません。

2
phyrfox

15個のIPアドレスは比較的少数です。ファイアウォールソフトウェアまたはハードウェアを使用してそれらをブロックできます。送信元IPがベルギーのエンティティに属するアドレス空間からのものであるように見せかけるVPNまたはプロキシサーバーサービスを使用していて、そこから正当なトラフィックが来るとは思わない場合は、割り当てられたアドレス範囲全体をブロックできます。少なくとも一定期間、そのエンティティに。一部の正当なトラフィックもブロックする可能性があるというリスクは常にありますが、他の正当なユーザーがサーバーにアクセスできるようにする必要があることで、そのリスクを上回る可能性があります。

たとえば、218.65.30.38を攻撃IPアドレスと見なしたとします。これは、実際には、誰かがパスワードを推測しようとして自分のサーバーの1つに侵入しようとしているのを見たアドレスです。最初に American Registry for Internet Numbers(ARIN) Webサイト http://arin.net にアクセスできます。 [Search whois]フィールドに、218.65.30.38と入力すると、アドレス範囲218.0.0.0-218.255.255.255が別の Regional Internet Registry(RIR) によって割り当てられていることがわかります。 RIRが Asia Pacific Network Information Center(APNIC) の場合、その地域にIPアドレスブロックを割り当てる組織。そこで、APNICサイト http://www.apnic.net にアクセスして、そこの「Whoissearch」フィールドに218.65.30.38を入力します。これは、218.64.0.0-218.65.127.255ブロックがChinaTelecomに割り当てられていることを示しています。中国からサーバーへの正当なトラフィックがないと予想される場合は、アドレス範囲218.64.0.0〜218.65.127.255全体をブロックできるため、攻撃者が218.65.30.38ではなく218.65.127.58から来た場合でも、ブロックされました。使用しているVPNサービスプロバイダーやプロキシサーバーサービスによっては、この手法が機能しない場合がありますが、たとえば、正当なトラフィックがすべてカナダからのものであることがわかっている場合は、この手法を検討できます。それでも、攻撃者がVPNまたはによって運営されているプロキシサーバーに切り替えることができれば、プロキシ/ VPNサービスプロバイダーが持つ可能性のあるネットワークのグローバル性によっては、しばらくの間 whack-a-mole ゲームのようになる可能性があります別の国のプロバイダーは、特定の国でサーバーを使用している場合はブロックされていることにすぐに気付きますが、そうである場合は script kiddies 気付かない可能性があります。

または、Webサイトを運用しているが、DDOSトラフィックが他のタイプのトラフィックである場合、つまり、ポート80または443へのHTTP/HTTPSトラフィックではない場合は、ファイアウォールでサーバーの前にそのトラフィックをブロックできる可能性があります。ポート上で、または攻撃者が使用しているプロトコルを使用してサーバーと通信するための外部システムの正当な必要性が明らかにない場合は、管理します。

また、攻撃者が使用しているIPアドレスが割り当てられている組織/会社を調べることをお勧めします。上記の手法を使用するか、whoisサービスを提供するWebサイトにアクセスすることができます。たとえば、 Whois Lookup を使用できます。 RIRによってアドレス空間を割り当てられた組織が、提供している会社などの他の組織にアドレス空間の小さなチャンクを割り当てた可能性があるため、そこにある連絡先情報でVPNまたはプロキシサーバーサービスプロバイダーが特定されない可能性があります。 VPNまたはプロキシサーバーサービスですが、組織に連絡して問題を通知することもできます。プロキシサーバー/ VPNプロバイダーを特定でき、そのWebサイトから連絡先情報を見つけることができる場合、正当なプロバイダーは、そのような攻撃のためにサービスを使用している顧客を嫌悪する必要があります。多くの人が利用規約の中で、そのような悪質な活動にサービスを使用することは利用規約に違反しており、悪意のある者はアカウントを直ちに終了し、すでにサービスに費やした資金を失うことになります。

DarkComet RATを使用して個々のユーザーに属するPCを制御している場合、whois検索でIPアドレスを検索すると、ISPが生成されます。 ISPに連絡すると、ISPが感染したシステムからのすべてのネットワークアクセスをブロックし、他の誰かが自分のシステムをリモートで制御できることをユーザーが学習し、システムを駆除するための対策を講じることができれば幸いです。

1
moonpoint