攻撃/DDoS/srad.jp/srad - moin.dnsq.info

1. 攻撃/DDoS/srad.jp/srad

sradにあった中の人の報告

tweetでもいろいろ言っているが、すべて推測のようだ。

「ヨドバシも自分たち同様の攻撃を受けているのではないか」とか。
「サーバーにトラフィックが届く前に回線に影響が出るため」
- IIJの回線がsrad一台を支えられないと思っているのだろうか。
直接問い合わせたら、IIJにより遮断されたので、攻撃内容は分からないという。

IIJが何の説明もなく遮断するはずもない。

IIJはDDoS対策サービスを提供している。

sradは契約していないと思われる。

スラドも9月1日の21日ごろよりDDoS攻撃と思われる大量のトラフィックにより閲覧がしにくい状況となっていた。スラドにおける攻撃および対処に関するタイムラインは以下のとおり。

9/1 21:00ごろ

9/1 21:50ごろ

srad.jpおよびosdn.jpで利用しているコロケーションサービスの提供元であるIIJから弊社（OSDN）の担当者に「大量のトラフィックが来て回線設備に問題が発生したため、上位で一時的にトラフィックを止めている」という連絡が入る。この時点では弊社ネットワーク向けのトラフィックがすべて止まった状態になり、巻き添えによってosdn.jpもアクセス不能になる。弊社内でのログ解析によりDDoS攻撃らしき痕跡は確認されたものの、トラフィックは上位で止められているため弊社では対応できず

9/1 23:40ごろ

9/2 0:00ごろ

再度攻撃が行われ、IIJによるフィルタが再度適用される。フィルタが適用される前のネットワーク状況を調査したところ、srad.jpに割り当てられている202.221.179.13に対し、約4.7万のユニークIPアドレスからのDNSの戻りクエリが殺到していることが判明、DNS Ampによる攻撃の可能性が高いと推測される。また、IIJ網内からはsrad.jpにアクセスできることから、IIJ網とインターネットとの境界でトラフィックのフィルタリングを行っていると推測

9/2 0:22ごろ

IIJより、202.221.179.13へのトラフィックをフィルタしていることが通知される。また攻撃の規模が非常に大きいため、IIJ側でのUDPのみのフィルタリングやポート単位でのフィルタリングは行えず、202.221.179.13へのトラフィックをすべてフィルタする対応しか行えないことが判明

9/2 1:00ごろ

9/2 12:00ごろ

202.221.179.13に加えて202.221.179.40への攻撃も行われ、再度IIJによって弊社ネットワーク全体へのトラフィックがフィルタされる。この影響でosdn.jpがアクセス不能に

9/2 12:20ごろ

9/2 15:00ごろ

srad.jpと同じ202.221.179.40に割り当てていたsrad.jpのサブドメイン（apple.srad.jpなど）を、202.221.179.48に変更。これによりサブドメインへのアクセスは復旧。緊急避難用ドメインとしてindex.srad.jpを提供開始。

9/2 17:00ごろ

9/2 22:00ごろ

202.221.179.48や202.221.179.11（osdn.jp）にも攻撃が行われ、弊社ネットワーク全体へのトラフィックがフィルタされる。この攻撃は短期間で収束し復旧する

9/3 0:00ごろ

9/3 12:30ごろ

9/3 18:00ごろ

9/3 21:30ごろ

9/3 22:45ごろ