まるで9時に始業した企業のように、わたしの自宅のウェブサーバーに、日本時間の午前9時32分36秒から1秒間に10ページ程度のアクセスが始まった。
DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である。
Wikipedia: DDoS攻撃
ログを見るとIPアドレスは複数あり、逆引きしてみたところ、すべてAWSだった。
アクセスがあったファイル名は以下のような感じ。
- /dashboard/nat_data.csv?_=1659486771575
- /dashboard/if_json.txt?_=1659486771778
- /dashboard/alert_json.txt?_=1659486771511
などなど。わざわざエポック秒を末尾につけて、サーバーにキャッシュを使わせないようにしてある。
わたしのサイトでは機能しないURIなのだが、ログは増える。知っていて無視するのも気持ちが悪いので、ブロックすることにした。
IPがコロコロ変わるようなので、しばらく放置してIPを蓄積・・・。
数時間後、たまったIPアドレスは以下の93個。
- 3.85.216.7
- 3.89.68.32
- 3.90.152.78
- 3.90.7.13
- 3.91.90.120
- 3.95.138.63
- 18.206.61.64
- 18.207.209.93
- 18.208.151.49
- 18.212.115.237
- 18.212.153.21
- 18.232.121.166
- 18.234.206.160
- 18.236.191.105
- 34.205.33.199
- 34.208.21.227
- 34.209.176.232
- 34.210.204.242
- 34.212.140.132
- 34.212.20.116
- 34.213.202.109
- 34.217.30.163
- 34.217.34.128
- 34.217.96.176
- 34.222.101.182
- 34.222.253.147
- 34.222.39.17
- 34.227.205.142
- 35.153.181.239
- 35.161.35.7
- 35.162.34.24
- 35.165.127.65
- 35.165.72.194
- 35.86.123.228
- 35.86.155.76
- 35.87.249.198
- 35.88.206.175
- 35.88.211.45
- 35.88.224.222
- 35.88.91.167
- 35.88.94.97
- 35.89.181.236
- 35.89.22.22
- 35.89.61.63
- 35.91.123.84
- 35.91.142.33
- 35.91.145.207
- 35.91.219.126
- 35.91.6.49
- 52.10.134.254
- 52.12.185.108
- 52.201.242.175
- 52.23.227.193
- 52.24.247.99
- 52.27.195.187
- 52.33.204.29
- 52.33.209.150
- 52.35.6.41
- 52.38.202.71
- 52.38.228.34
- 52.39.244.43
- 52.55.204.108
- 54.149.113.190
- 54.158.160.4
- 54.158.239.127
- 54.162.216.214
- 54.167.212.228
- 54.174.143.212
- 54.184.112.32
- 54.184.189.47
- 54.184.27.105
- 54.187.109.181
- 54.189.47.4
- 54.196.52.155
- 54.197.13.176
- 54.202.243.54
- 54.209.193.218
- 54.211.79.44
- 54.213.116.51
- 54.213.172.108
- 54.213.231.76
- 54.213.39.99
- 54.214.159.108
- 54.218.24.128
- 54.218.56.232
- 54.227.121.44
- 54.234.169.78
- 54.244.61.22
- 54.70.28.86
- 54.89.234.246
- 54.92.140.123
- 54.92.246.113
- 100.26.183.175
応急処置として、これらをルーターのIPフィルターにブチ込んだ。
アクセスがピタッ・・・と停止。
ホッとひと息。
晩御飯の後で、AWSのIPの範囲を取り寄せて、より広範囲にAWSからの攻撃を防げるように設定を改良した。
過去にDoS攻撃を受けたことがたぶんないし、落ちても特に困らないから防衛ツールは入れていないけど、繰り返されるようなら導入しなくては・・・。
誰からの嫌がらせか
安倍晋三の国葬を批判したから、Dappi=株式会社ワンズクエストみたいな自民党の下請け企業が嫌がらせをしてきたのかもしれない、と推測しているけど、実際のところはわからない。
警察に被害届でも出してみようか・・・。
自慢じゃないけど、DoS攻撃を受けたのは初めて。ちゃんと業務用機器を使っているから自宅には何も起きなかったけど、気分はしっかり害された。
sshdへの攻撃だったら自動でbanされるようにしてあるのに、ウェブサーバーは無策なんだよねぇ(ボカスカ)