DoS攻撃被害遭遇 2019/08/18-2019/08/19

2019年8月21日Security (セキュリティー)

無断転載禁止

概要

私が管理しているウェブサーバーに対して、海外からの DoS 攻撃 (Denial of Service attack) がうざいです。
DoS 攻撃を受けていることに気づいた場合は、 DoS 攻撃に使用されている IP アドレスまたはサブネットを、 DoS 攻撃を受けている最中に、ファイアウォールに登録することにしています。


被害

実例: 1 (DDoS 攻撃)

日時: 2019/08/18 20:22:03頃 ~ 20:30:48頃
説明:

オランダとウクライナの IP アドレスからの DDoS 攻撃 (複数の IP アドレスを使用した DoS 攻撃。分散型サービス妨害攻撃。 Distributed Denial of Service attack) 。
一つの IP アドレスをアクセス禁止にしても、他の IP アドレスでアクセスしてくる。
よって、 IP アドレスではなく、サブネットごとファイアウォールに登録。

Denial of Service attack 2019/08/18 20:29
ソフトウェア「TCP Monitor Plus」の画面
Denial of Service attack 2019/08/18 20:31
ソフトウェア「TCP Monitor Plus」の画面

ファイアウォールに登録した IP アドレスまたはサブネット:

  • 5.255.82.0/24
  • 93.158.212.0/24
  • 93.158.216.0/24
  • 185.20.0.0/16
  • 185.36.0.0/16
  • 185.67.0.0/24
  • 185.161.0.0/16
  • 185.181.165.0/24
  • 185.236.0.0/16
  • 185.253.219.0/24
  • 193.111.0.0/16
  • 193.169.0.0/16


実例: 2 (DoS 攻撃 + DDoS 攻撃)

日時: 2019/08/19 02:27:54頃 ~ 02:28:18頃
説明:

ドイツの IP アドレスからの DoS 攻撃 + DDoS 攻撃。
「一つの IP アドレスを使用した DoS 攻撃」と、「複数の IP アドレスを使用した DDoS 攻撃」の組み合わせ。

Denial of Service attack 2019/08/19 02:32
ソフトウェア「TCP Monitor Plus」の画面

ファイアウォールに登録した IP アドレスまたはサブネット:

  • 88.198.172.0/24
  • 95.216.0.0/16
  • 136.243.13.0/24
  • 144.76.4.0/24
  • 195.201.120.0/24


実例: 3 (DDoS 攻撃)

日時:

2019/08/19 00:57:27頃 ~ 01:12:56頃
2019/08/19 03:19:02頃 ~ 03:20:20頃

説明:

オランダの IP アドレスからの DDoS 攻撃。
一つの IP アドレスをアクセス禁止にしても、他の IP アドレスでアクセスしてくる。
よって、 IP アドレスではなく、サブネットごとファイアウォールに登録。

Denial of Service attack 2019/08/19 03:21
ソフトウェア「TCP Monitor Plus」の画面

ファイアウォールに登録した IP アドレスまたはサブネット:

  • 23.83.0.0/16
  • 23.108.0.0/16
  • 23.111.0.0/16
  • 172.255.0.0/16


まとめ

私が管理しているウェブサーバーが DoS 攻撃を受けた後に、アクセスログ (サーバーが自動的に作成する通信の記録) を確認しても、 DoS 攻撃の痕跡が記録されていません。
アクセス禁止などの対策をとられないように、わざと記録が残らないようにしているのかもしれません。

なお、 DoS 攻撃の方法や目的は不明です。


2019年8月21日Security (セキュリティー)

Posted by Atsushi Fukuda (atsushifukuda.jp)