web-dev-qa-db-ja.com

サーバーのIPをヌルルーティングすることでDDoS攻撃を軽減しますか?

私のサービスは、非常に多くのコンピューターのボットネットのように見えるものによって攻撃されました。すべてのサーバーに追加のIPがあり、ホスティングプロバイダーがIPアドレスをnullルーティングして、サイトのWebコントロールパネルを1回クリックするだけで、DDoS攻撃を軽減できるため、手順について注意が必要です。サーバーのプライマリIPがヌルになっている間、他のIPを介してサーバーにアクセスできるようにするには?それらはubuntuサーバーです。

  • Ubuntuで追加のIPをどこで構成しますか?

  • 追加のIPをDNSの「A」レコードとして設定する必要がありますか?

  • ヌルルーティング時に予想されるダウンタイムはありますか?他に必要なことはありますか?

よろしく!

3
Albert

IPをヌルルーティングすると、明らかにそのIPへのトラフィックはルーティングできなくなります。ただし、それは他のIPには適用されません。したがって、はい、そのIPが他のIPと同じインターフェイス上にある場合でも、実際にヌルルーティングしている場合は、そのIPのみが影響を受けます。基本的に、プロセスは次のようなルートを公開するだけです。

192.0.2.14/32 via 0.0.0.0 metric 1

したがって、このIPがなくてもサービスにアクセスできることを確認する必要があります。

DNSの平均コンバージェンス時間は通常、レコードに設定されているTTLの半分以上です。したがって、TTLが長い場合、ネームサーバーとクライアントのキャッシュは記憶に残る可能性があります。ヌルルーティングされたIPを引き続き使用(または場合によっては配布)します。このため、少なくともある程度のダウンタイムが発生する可能性がありますが、一部のホストのみを尊重し、それらのホストがすぐに使用しない場合に限ります。 RR経由で選択したIPアドレスで接続できない場合は、他のIPアドレスを試してください。

他のIPアドレスがホスト名のDNSにまだ含まれていないように思われるので、はい、それらを(Aレコードとして)そこに配置する必要があります。はい、変更が伝播するにつれてダウンタイムが発生します。

また、質問へのコメントで述べたように、攻撃者は簡単に新しいアドレスを見つけて、それも(または代わりに)攻撃できることを覚えておいてください。

2
Falcon Momot