MASAOKA

アスペルガー的発想からの独り言から、進歩しました。 https://sns.masaoka.jp/

ネットワーク攻撃

| 0件のコメント

せっかくだから、去年の8月に、実際に起こった事例を取り上げてみようと思う。

CentOS7.0がでて、すぐ、デフォルトでインストールした状態で、固定のグローバルIPにおいたまんまの状態で、放置していたら、そっこーで、ハッカーの餌食に

もちろんパスワード設定しましたよ。ただし、パスワードが、6桁で、単純すぎたので、辞書攻撃で狙われてしまったのかも。

どうなったのかというと、メールシステムが乗っ取られて
Postfix SMTPで、DOSアタックの攻撃元に

一番影響があったのが、ルーターですね。
その時に使っていたのが、YAMAHA RTX1210で、CPUの使用率が100%に張り付いて、通信不能状態に、ハイパーバイザー上で、CentOSを動かしていたのだが、同じ物理コンピュータに乗っていた、仮想マシンは、なんともなくって、ある意味、vmwareは、凄いなって思いました。

で、原因を特定すべく、スイッチのパケットを調査し、原因の物理コンピュータに行き着いて、その中に立ち上がっている仮想マシンで、これが、原因やって、わかったのですが
実験で、インストールしたまんま放置していたのが、狙われてしまったというわけで。

その時に、悟ったのが、ルーターを自分で作るか、L3スイッチで構成すべきかと思いました。

ちなみに、DOSアタックで、悩んでいる組織は、とても多くって、バカHUBの、10MBのやつを、サーバーの間に挟んで、帯域を強制的に押さえてみるとか(東京大学)

http://www.janog.gr.jp/meeting/janog9/pdf/janog9_ando.pdf

今だから、いえる話ですが、効果は、ありました。ただし、業務にも支障が起こりました。
かなり、、、。ただし、元に、戻ったとたんに、攻撃が再開されてしまいました。

icmpもブロックしたりしても、いまいち効果なし。

一昨年は、ntpサーバーのDOSアタックで、なんか、毎年のようにサイバーテロに、巻き込まれています。

対策は、やはり原因を調べて、元に近いところで、ブロックするなり、スルーするなりしないといけないということだと思います。

コメントを残す

%d人のブロガーが「いいね」をつけました。