攻撃に立ち向かうイヌさんThe English version is available here. タイトル訂正: 「自作サービス『に』→『が』DDoS攻撃された話」「それはDDoSではない」という指摘に関して末尾に追記 (6/18)SaaSを開発していると本当にいろんな事が起こります。それらは時に開発者に喜びや悲しみ、怒り、感謝、落胆や興奮をくれます。思い返してみれば結局はみんないい思い出になるものです。先週末に、拙作の小さなウェブサービスがDDoS攻撃を受けました。言わずもがな、悪い出来事です。本稿ではこの事故がどんなものだったのか、どうやって対処したのかについてお話します。 どうもTAKUYAです。僕はInkdropというクロスプラットフォームなMarkdownノートアプリを独りで3年以上開発・運用しています。ユーザ数2万人以下のとてもニッチなSaaSで、僕はこのサービスで生計を立
Twitterのオーナー、イーロン・マスク氏は7月1日、Twitterでの“サービスの低下”の原因を「数百の組織がTwitterのデータを極度なレベルでスクレイピングしている」ことだとツイートしたが、原因は別のところにあるようだと、フリーランスのWeb開発者、シェルドン・チャン氏がMastodonの投稿で指摘した。 この“サービスの低下”で、多数のユーザーが投稿を読めなくなっている。マスク氏は2日、「極端なレベルのデータスクレイピングとシステム操作に対処するため」にユーザーが読める投稿数に制限を加えたとツイートした。 だがチャン氏は、異常なトラフィックの原因として、TwitterのWebアプリのバグにより、無限ループ状態でTwitterにリクエストが送信されていることを発見したと動画を添えて説明した。この動画では毎分数百件のリクエストが送信されていることが確認できる。 左の動画は、レートが
事例集です。 きのう、GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来ているのに気づいた。PR出すところを間違えたのかな、と思って見てみたがどうも様子がおかしい。 prog という名前のバイナリファイルを置いている .github/workflows/ci.yml*1の中身をガッと書き換えている on: [pull_request] でworkflowを起動している 20並列でjobが走るようにmatrixを設定している fail-fast: false なので、どれか1つのmatrixが失敗しても他のジョブは続行される base64 encodeした文字列をdecodeしてevalしている ドメインの名前解決を行ったあと ./prog を実行するコマンドにdecodeされた PRをめちゃくちゃな回数closeしてreopenしている PRを
ニュースサイト・CyberNewsのセキュリティ研究者であるMantas Sasnauskas氏と研究者のJames Clee氏・Roni Carta氏の共同研究により、中国製の安価なルーターに不審なバックドアが存在していることがわかりました。 Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices | CyberNews https://cybernews.com/security/walmart-exclusive-routers-others-made-in-china-contain-backdoors-to-control-devices/ バックドアの存在が指摘されているのは、ウォルマートが独占販売している「Jetstream」ブラ
3月12日火曜日に始まったPublickeyへのDDoS攻撃に対して、これまでサーバの強化、Cloudflareの導入とDDoS対策のための設定を行ってきました。 その結果、3月24日日曜日の夜に始まり3月27日水曜日の朝まで3日間連続で続いたDDoS攻撃のあいだもWebサイトの閲覧と記事更新などを問題なく行える状態となり、DDoS攻撃がWebサイトの運営の大きな障害ではなくなりました。 ちなみにそれ以後DDoS攻撃は止んでいますが、今後はいつDDoS攻撃を受けてもWebサイトの運営に支障がでることはなくなったと考えられます。この記事では結局どのような対策を行ったのか、実際に効果を発揮したDDoS対策を紹介していきます。 これまでの経緯は下記の記事をご参照ください。 Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ 続、Publickeyが受けたDoS攻撃、これまでの経緯と
はじめに 先日、海外向けに運用していた個人ブログがDDoS攻撃を受けてしまいました。 こういったサイバー攻撃は、企業に対して行われるものという先入観がありました。 しかし、調べてみると、最近では個人ブログも標的になってきていると報告があがっていました。 CloudFrontとS3で作成する静的サイトが人気になっており、特にCloudFrontの危険性について紹介したいと思います。 DDoS攻撃って? ざっくり説明すると、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃です。 インフラストラクチャーレイヤー攻撃(レイヤー3、4)とアプリケーションレイヤー攻撃(レイヤー6、7)の2つに分類されます。 ご指摘を頂きましたので、訂正いたします。 厳密には、EDoS攻撃でした。 AWS Shield Standard AWSを利用した場合、defaultでAWS Shiel
Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われたDoS攻撃の主な発生時間帯です。 グラフはPublickeyのページビューの推移を示しており、横向きの矢印が主なDoS攻撃の発生時間帯を示しています。発生時間帯では
先週の火曜日、3月12日に始まったPublickeyへのDDoS攻撃は今週日曜日、3月18日日曜日の早朝を最後に収まったようです。この記事執筆時点でPublickeyのサーバは平常に戻っています。 この間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 前回の報告「Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ」の後、さらにいくつか対策を講じましたので、この記事では前回の報告以後の経緯と講じた対策を記したいと思います。 また、前回の報告では「DoS攻撃」と書きましたが、その後Publickeyのサーバをホスティングしているさくらインターネットのサポート担当の方から、今回の攻撃は分散した箇所から攻撃を受けていると
現在、Webアプリの約60%がHTTP/2を採用しているという。 新たな攻撃は、何十万ものリクエストを作成し、すぐにキャンセルすることで機能するとCloudflareは説明した。リクエスト/キャンセルのパターンを大規模に自動化することでWebサイトを停止に追い込む。 3社は、HTTP/2を採用するプロバイダーに対し、可能な限り早くセキュリティパッチを適用するよう呼びかけた。 クライアントによるこの攻撃への最善策は、利用可能なすべてのHTTPフラッド保護ツールを使用し、多面的な緩和策でDDoS耐性を強化することだとしている。 Cloudflareは、8月の攻撃について今報告するのは、「可能な限り多数のセキュリティベンダーに対応の機会を与えるため、情報を制限してきた」と説明した。 HTTP/2 Rapid Reset Attackの詳しい説明などは、以下の「関連リンク」の各社の公式ブログを参照
AWS WAF でアクセス数が一定回数を超えた IP アドレスを自動的にブラックリストに追加させる方法 | DevelopersIO
困っていた内容 自社サービスの特定の URL に対して、数日間で数百の IP アドレスから大量の不正アクセスを受けています。 攻撃元 IP アドレスを自動的にブラックリストに追加させる方法がありましたら教えてください。 どう対応すればいいの? AWS WAF の レートベースのルール を設定してください。 より細かい制御を行いたい場合は、AWS WAF セキュリティオートメーションの導入をご検討ください。 AWS WAF のレートベースルールとは AWS WAF のレートベースのルールを設定すると、AWS WAF が発信元 IP アドレスのリクエスト数をカウントし、設定したしきい値を超えるリクエスト数が確認された際に対象の IP を自動でブロックできます。 現在は 5 分間あたり 100 リクエスト を最小しきい値として指定可能です。 以下にて作成手順を紹介します。 Web ACL とレー
ホスティング事業部MREチームでインフラエンジニアをやっている原口です。 先日、弊社の DNSサービスに対し、軽めの DDoS攻撃が来たので、その際に対応した手順を簡単にご紹介します。 DNSサービスに対する DDoS攻撃への対応について DNSサービスに対する DDoS攻撃は昔からあり、弊社でも対策を行っております。 拠点や回線を分け、冗長化を行うのはもちろんですが、各拠点で「DDoS軽減装置」と言われるアプライアンスを導入しています。これは、不正なパケットを DROP をするものですが、一般的なファイアウォールのようなルールベースではなく、学習結果をもとに、通常とは異なる傾向のアクセスがあると動作するものになっています。 今回紹介する対応は、この DDoS軽減装置をすり抜ける程度の、軽めの DDoS攻撃に対して行ったものです。 DNSサービスの構成 今回 DDoS攻撃が来たサービスでは
「DDoS流行ってるの?」「うちには来てないよね?」をAWS Shieldで確認する方法 + 対策 | DevelopersIO
こんにちは、臼田です。 みなさん、DDoS対策していますか?(挨拶 今回は、昨今の社会情勢もあり「DDoS流行ってるの?」「うちには来てないよね?」と不安になっている方に向けたAWS Shieldを活用したグローバルなDDoS状況の確認、自身のAWS環境のDDoSの影響確認、そしてDDoS対策について紹介します。確認部分は無料で簡単にできるのでぜひみなさんチェックしてみてください。 DDoSの状況確認 AWS ShieldはDDoS保護のサービスで、2つの種類があります。 1つは無償で全てのAWSアカウントを保護しているAWS Shield Standardで、AWS環境に対する一般的なレイヤー3レイヤー4のDDoSから自動で保護します。最初から有効化されており、明示的な設定などはいりません。 もう1つは月額$3,000で組織全体のAWSアカウントを保護するAWS Shield Advan
2022年2月15日、ウクライナ政府は軍や金融機関に対してDDoS攻撃が行われシステム障害が発生したことを公表しました。ここでは関連する情報をまとめます。 DDoS攻撃で銀行サービス一時使えず 2022年2月15日午後からウクライナ関係の複数のWebサイトに対してDDoS攻撃が行われた。攻撃を受けたサイトは数時間から半日程度の間接続ができない状態となった。金融機関(PrivatBank)ではPrivat24の利用者において残高や直近の取引が表示できないなど支払いやアプリの利用に問題が生じてしまった。軍関係の通信状況や金融機関の預金者への影響は発生していない。*1 米国をはじめDDoS攻撃の実行者に関して特定の国を名指しにした公式の声明は出ていないがウクライナ当局関係者は「1つの国家」が攻撃の背後関係からうかがえることを述べている。*2 *3 過去の経緯からロシア関与を示唆する声明が出ている
ロシアの侵攻により2月24日に始まったウクライナ危機に先立ち、15日と16日にあったウクライナの銀行などへのDDoS(分散サービス拒否)攻撃について、日本でも兆候が観測できていた。情報セキュリティリサーチャーであるIIJの根岸征史さんが、自身のTwitterアカウントで2月25日に明らかにした。 根岸征史さんによると、IIJのハニーポット(おとりサーバ)で、15日には銀行「PrivatBank」から、16日には金融基盤を手掛ける「Ukrainian Processing Center」(UPC)から、「Backscatter」(バックスキャッター)と呼ばれるパケットを多く受信していたという。 なぜ、被害を受けているサーバからのパケットでDDoS攻撃を観測できるのか。同社の堂前清隆副部長(広報部 技術広報担当)がYouTubeで解説動画を公開している。 「DDoS攻撃では、大量のアクセスを複
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自作サービスがDDoS攻撃された話 - 週休7日で働きたい
Twitter障害はスクレイピングではなく“自己DDoS”が原因?
GitHub Actionsを使ったDDoSに巻き込まれた - 私が歌川です
中国製の安価なルーターに不審なバックドアが存在、積極的に悪用しようとする試みも
続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編
要注意!?本当に怖いCloudFront - Qiita
Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
続、Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
Google、Cloudflare、Amazon、 HTTP/2悪用の史上最大規模DDoS攻撃について説明
特定ドメインに対する大量の DNSクエリを DROP する - Pepabo Tech Portal
2022年2月に発生したウクライナへのDDoS攻撃についてまとめてみた - piyolog
ウクライナへのDDoS攻撃、日本でも兆候見えていた 観測のカギは「Backscatter」