22. DDoS攻撃を受けてしまった

クリニックとキワ電のインターネットサーバがDDoS攻撃を受け、その対応でこの1週間大変だった話。DDoS攻撃(https://ja.wikipedia.org/wiki/DoS攻撃)Wikipediaです。DRDoS攻撃の中のUDPパケットによる、DNS queryだったようです。症状としては、外部からのネットワークのアクセスは可能でしたが、内部からインターネットへの接続が全くできない状態になりました。自前のDNSに多量のDNS queryが発行され、NAT接続のパケットがオーバーフローして、内部からのDNSへの問い合わせが一切できなくなり、接続が不能になるというもの。攻撃に使用されるパケットはネットワークトラフィックを膨大にするほどのものではないので、外からのアクセスは可能だったようです。

macOS Server port 3283への攻撃

macOS 3283ポートはRemote Desktopが利用するポート。このポートへ不正なDNS queryが送られるのが問題だったようです。それに気がつくまでが今まで攻撃を受けたことのないサーバーを運用するおっさんには大変だった。

結論から言えば3283ポートをルータの設定でブロックすることで、問題はとてもきれいに解決してネットワークも解決した。

そこに至るまでが大変

ネットに接続できない状態になった時にDNSのサービスログを見ると多量の主にipV6のアドレスに対するerror, ipV6に関してはルータで通さない設定にしたのになぁ、DNSの上位サイトに繋げられないのか？、外からも同様に繋がっていないのではなどなど、わけがわからない状態。それに、2系統のインターネットへの接続がほぼ同時にできなくなり、近隣のネット障害があるのか情報を検索しても何も出てこない。内部のイーサケーブルの接続が悪いのか、でも、2系統ともなんて、などなど、次から次へと疑問が発生。

キワ電側はルータのファームウェアアップデートで、インターネットへの接続は回復したので、一段落と思ったのだが、原因の問題への対処を行わないまま。クリニック側の問題も解決したようにインジケータが表示していたのだが、スタッフに聞けばインターネットへの接続が出来ないままだと。

グループのIT担当に相談して、やっと不正パケットの問題が浮上してきた。それからは、ルータ管理の理解がたりなかったので、随分と遠回りな苦労と時間を費やしたが、今はすっきり解決しました。

今から思い起こしてみると、このDDoS攻撃、以前からあったが、この2週間ほど前からDDoS(DRDoS分散反射型DoS攻撃)を発行するサイトが増えたのではないかの印象でした. 攻撃の対象にならなかったような施設でも、人間の意思で私のところを攻撃しようとしたわけではないだろうが、ソフトウェアが攻撃対象として攻撃可能なところを見つけているのではないだろうか、そんな時代に突入ですかね。