42万個のIPからDDoSを受けたので対処までをまとめてみた
42万個のIPからDDoSを受けたので対処までをまとめてみた
はじめに
先日私が共同管理しているサーバーへの攻撃が、中国のbotnetと思われるものから行われました。
最終的にIPの数は13万個 23万個 32万個 42万個 に達しました。
リクエスト数は20億を超えています。
サーバーは専用サーバーで、Xeonとスペックはかなり良いです。
結果的に同チームの対処により他のサーバーにリクエストを受け流すことで解決しました。
おそらくこれ見てもそんなに知識は得られないと思いますが、こんな事があったんだな程度で見て行ってください。
時系列 with 画像
2024/02/02 ~ 02/03 の間に起きました。
22:00 異変
この時間帯は専用サーバーに、CI/CDの準備をしていました。
しかしこの時間帯に急にsshが不可能になりました。
Cloudflareのdashboardを確認するとあらびっくり
なんと4万IPからDDoSを受けていました。
この時はCloudflareの防御を入れていなかったので全てのリクエストを直に開発サーバーに受けている状況でした。
その時のツイートがこちら
呑気すぎる・・・
22:30 焦る
正直すぐ終わると思ったら
日本時間だと、22:30
Cloudflare で障害が起きてしまいます。
流石にやばいと思い、DashBoardを再確認
IPは7万、リクエストは6億に増えていました。
このあたりから、Cloudflare自体で不具合が連発しだしました。
ここでAntiBotを設定しました。
(ここがこの記事唯一の技術ポイントですw)
Rulesを選択
次に
Custom を選択すると以下になるので
今回は、TorのIPと中国のBotnetを悪用したDDoSでした。
最初のログを見る感じロシア人による攻撃の様です。
threat score とは、日本語で言うと脅威スコアの事です。
リクエストをbotによるものか、人間の物かスコア付けしています。
0が一番botの可能性が低く、100が一番多いです。
普通は10がbotか人間化の境目です。
この場合はほぼ全てのリクエストを弾きたかったので2に設定しました。
23:00 止まらない攻撃
ブロックされているにも関わらず、DDoSは止まりません。
この時点で全てのリクエストはCloudflareに防御されているのでサーバーにはノーダメージです。
IPの数はじわじわと伸び、10万を超えました。
焦りすぎてこんなツイートをしていました。
13億IPは流石にgoogleだろうが防げない・・・
23:00~ 攻撃終了
チームメンバーがトラフィックを完全に別サーバーに転送するようにしました。
流石に無意味だと分かったのか、やっとDDoSは停止しました。
最終的に
1時間の内に10憶リクエストを記録しました。
IPの数は13万個
02/03 10:00
最後に確認したところ、IPの数が23万個に増えていました。
02/03 13:00
02/05 21:00
最後に
いやぁ、私のサービスも有名になったもんですね(?)
勿論私は個人なので私を攻撃しようがなんの利益にもなりません。
今回はほぼこんなことがあったよっていうレポートでした。
threat score、便利なので使ってみてね (唯一の技術ポイント)
Discussion