DDoS攻撃と見られる大量のトラフィックにより国内の複数サイトがダウン
タレコミ by hylom
hylom 曰く、
8月末より、国内の複数サイトに向けDDoS攻撃が行われ、サイトが閲覧できないなどのトラブルが発生した(piyolog)。特に家電量販店大手のヨドバシカメラが攻撃された件についてはIT関連メディアだけでなく一般メディアでも報じられている(産経ニュース、ASCII.jp)。なお、現在では多くのサイトが復旧している。
スラドも9月1日の21日ごろよりDDoS攻撃と思われる大量のトラフィックにより閲覧がしにくい状況となっていた。スラドにおける攻撃および対処に関するライムラインは以下のとおり。
- 9/1 21:00ごろ
- srad.jpおよびosdn.jpへのアクセスが行えなくなっていることを確認
- 9/1 21:50ごろ
- srad.jpおよびosdn.jpで利用しているコロケーションサービスの提供元であるIIJから弊社(OSDN)の担当者に「大量のトラフィックが来て回線設備に問題が発生したため、上位で一時的にトラフィックを止めている」という連絡が入る。この時点では弊社ネットワーク向けのトラフィックがすべて止まった状態になり、巻き添えによってosdn.jpもアクセス不能になる。弊社内でのログ解析により80番および443番ポートなどへのDDoS攻撃らしき痕跡は確認されたものの、トラフィックは上位で止められているため弊社では対応できず
- 9/1 23:40ごろ
- 攻撃が収束したため、IIJによるフィルタがいったん解除される
- 9/2 0:00ごろ
- 再度攻撃が行われ、IIJによるフィルタが再度適用される。フィルタが適用される前のネットワーク状況を調査したところ、srad.jpに割り当てられている202.221.179.13に対しDNSの戻りクエリが殺到していることが判明、DNS Ampによる攻撃であることが確定。また、IIJ網内からはsrad.jpにアクセスできることから、IIJ網とインターネットとの境界でトラフィックのフィルタリングを行っていると推測
- 9/2 0:22ごろ
- IIJより、202.221.179.13へのトラフィックをフィルタしていることが通知される。また攻撃の規模が非常に大きいため、IIJ側でのUDPのみのフィルタリングやポート単位でのフィルタリングは行えず、202.221.179.13へのトラフィックをすべてフィルタする対応しか行えないことが判明
- 9/2 1:00ごろ
- srad.jpのIPアドレスを202.221.179.40に変更。これによりsrad.jpへのアクセスが復旧する。
- 9/2 12:00ごろ
- 202.221.179.13に加えて202.221.179.40への攻撃も行われ、再度IIJによって弊社ネットワーク全体へのトラフィックがフィルタされる。この影響でosdn.jpがアクセス不能に
- 9/2 12:20ごろ
- IIJによるフィルタが202.221.179.13および202.221.179.40のみに変更され、osdn.jpへのアクセスが復旧
- 9/2 15:00ごろ
- srad.jpと同じ202.221.179.40に割り当てていたsrad.jpのサブドメイン(apple.srad.jpなど)を、202.221.179.48に変更。これによりサブドメインへのアクセスは復旧。緊急避難用ドメインとしてindex.srad.jpを提供開始。
- 9/2 17:00ごろ
- 新たにm.srad.jpに割り当てている202.221.179.14へも攻撃が行われ、このIPアドレスもIIJによるフィルタ対象に追加される
- 9/2 22:00ごろ
- 202.221.179.48や202.221.179.11(osdn.jp)にも攻撃が行われ、弊社ネットワーク全体へのトラフィックがフィルタされる。この攻撃は短期間で収束し復旧する
- 9/3 0:00ごろ
- 202.221.179.48にも攻撃が来たことから、srad.jpのサブドメインを202.221.179.40に戻す
- 9/3 12:30ごろ
- 202.221.179.11に攻撃が行われる。攻撃は短時間で収束し復旧
- 9/3 18:00ごろ
- 202.221.179.11に攻撃が行われる。攻撃は短時間で収束し復旧
- 9/3 21:30ごろ
- 攻撃が短時間になっていることと、弊社ではできる対応が限られていることからIIJにフィルターの解除と監視・報告の停止を要請
- 9/3 22:45ごろ
- フィルターの解除を確認
DDoS攻撃と見られる大量のトラフィックにより国内の複数サイトがダウン More ログイン