自鯖の対dDoS攻撃対策は？

[0001 DNS未登録さん 2006/07/12(水) 03:28:53 ID:Gqt+V/74]

どうよ？

[0002 DNS未登録さん 2006/07/12(水) 08:03:31 ID:???]

ルータの電源を抜いて外界から遮断する

[0003 DNS未登録さん 2006/07/12(水) 11:49:08 ID:965LQwa5]

ルーターのパケットフィルタで韓国と中国からのアクセスを遮断してる。

[0004 DNS未登録さん 2006/07/12(水) 17:21:34 ID:???]

インドも遮断しとけ

[0005 anonymous 2006/07/13(木) 00:19:41 ID:???]

>3-4
アホか。どっちにしろ自宅のルータまでは届いてしまうから、
そんなことしても自宅網が外界と通信できないのは同じ。
ましてやルータなしで直接鯖を外部にさらしていたら...

個人でできる対処法なんて、回線切ってDDoSが通り過ぎるのを
待つだけ。あとはプロバイダに頼んでみるという手もあるが、
家庭向け回線は安いから対処してくれないかもね。

[0006 DNS未登録さん 2006/07/13(木) 03:54:30 ID:???]

90Mbpsのポート80のUDP攻撃を食らったけど、Linuxルータは問題なかった。
ISPから連絡があって、同じルータに収容のほかのユーザーに影響が出ているから、
特定のIPからのパケットを大元のルータで遮断したって。攻撃元は国内だったけど。

[0007 DNS未登録さん 2006/07/16(日) 16:46:36 ID:tknyr6PV]

>>6
さっさとサーバ落とせよ。

[0008 DNS未登録さん 2006/07/17(月) 03:26:42 ID:KC57LWmH]

コレガのルータのDOSアタック防止機能

[0009 DNS未登録さん 2006/07/17(月) 10:45:25 ID:fAe6ivUu]

アタックされたらレシーブするのが基本

[0010 DNS未登録さん 2006/07/19(水) 02:33:46 ID:???]

>>8
それ、アタックされたらルーターが落ちて遮断するの？

コレガならDOS食らったら一発で落ちそうだ

[0011 DNS未登録さん 2006/07/31(月) 15:44:12 ID:???]

iptables でフィルタ
pkts bytes target prot opt in out source destination
271M 13G DROP all -- * * 125.108.0.0/16 0.0.0.0/0

2日で、2億7000万パケット、13GBもINしてきますよ。なんなんだチャイナ。

[0012 DNS未登録さん 2006/10/01(日) 23:07:21 ID:???]

favicon.icoに連アタされるんだがどうにかしてくれ。

[0013 anonymous 2006/10/02(月) 14:47:46 ID:???]

>12
つ [favicon.ico ]

[0014 DNS未登録さん 2006/11/25(土) 17:35:23 ID:???]

１０GBぐらいのファビコンを置いとく。
IEがクラッシュ(w

[0015 DNS未登録さん 2006/12/10(日) 19:25:11 ID:MbamMDQD]

うちのルーター君によると (postfix.fc2.com) からDoS攻撃されていると
5分おきに連絡が来るのですが何かの間違いですよね？

[0016 DNS未登録さん 2006/12/10(日) 20:09:17 ID:???]

SYNフラッシングってどういう攻撃？３WAYハンドシェイクを付いてるのは分かるんだが。

[0017 DNS未登録さん 2006/12/10(日) 21:16:51 ID:???]

>>16
SYN floodだろ。SYNだけを一方的に送りつけてサーバの応答性能を落とす攻撃。

TCPの仕様の問題により、どこかからSYNを受け取るとSYN+ACKを返却して次のACKを待つ
(いわゆるハーフオープン状態)という処理をしなければならないので、一定量のメモリ
を確保する必要が生じる。攻撃側はそれを逆手にとってSYNだけを大量に送りつける
ことによってサーバのメモリを大量に消費するよう仕向けることができる
というわけだ。

これを解決するにはSYN cookieを使うのがもっとも手っ取り早い。
古いTCP実装ではクライアント側のシーケンス番号はクライアント側が自由に決める
ことができたが、SYN cookieではサーバがクライアントのシーケンス番号を決める。
その時のシーケンス番号としてクライアントのアドレスとかポート番号とかを元に
したハッシュ値(MD5とかSHA1などと呼ばれるもの)を入れておくことで、サーバが
SYN+ACKを返すタイミングでは状態を保存せずに済む(メモリを消費しなくて済む)
ことになるわけだ。

ただそもそもSYN cookieは厳密な意味ではTCPの実装違反でもあるので、一般的には
SYN floodによる攻撃を受けていると判断してから動き出すのが望ましい。

[0018 IX 2006/12/11(月) 14:21:11 ID:???]

SYN cookieも一定までしか効果無い。
ある程度以上来るなら、さっさとIPブロックごと遮断した方がいい。

[0019 名無しさん＠お腹いっぱい 2006/12/11(月) 16:34:49 ID:???]

>>18
んなこたーない。
TCPのメモリ管理の問題はこれでとりあえず(=仕様に反するという問題を除けば)解決できるし、
単にネットワーク帯域の間題ならそれはTCPの前の話だ。

[0020 DNS未登録さん 2006/12/11(月) 21:38:40 ID:???]

>>17
詳しい方法ありがとう。ようはピンポンダッシュってことか。

[0021 DNS未登録さん 2006/12/13(水) 12:59:11 ID:0tCClXws]

中韓からのアクセス大杉ワロタ

[0022 DNS未登録さん 2006/12/13(水) 22:42:25 ID:6xZnXfKq]

ムカつくからやられたらやり返す事にした。

[0023 DNS未登録さん 2006/12/13(水) 22:52:32 ID:YCEVm0/n]

http://sports2.2ch.net/test/read.cgi/entrance2/1156582008/67


芸能人極秘画像流出！！

[0024 DNS未登録さん 2007/01/06(土) 07:56:11 ID:???]

やられたら落ちる。あきらめる。嵐が通り過ぎるのを待つ。
技術もなにもないのよ、恥ずかしながら。