1. DNS/攻撃/DDoS/さくらの対応
さくらのサポートに問い合わせても「セキュリティ上の理由で答えられない」との返事。
どういう攻撃があったのかも、公表しないらしい。
- 攻撃内容を業界で共有することが重要なのに、そういう仕組みがあるかどうかも分からない。
http://knowledge.sakura.ad.jp/etc/4312/ 「さくらの平和は私たちが守る!」
さくらの対応では満足できないのだろう。
- さくらからCloudflareに移ったドメインが複数ある。(CDNとして)
2. さくら利用者からの情報
さくらDNSゾーンサーバも一時返答しなかったらしい。
- 問い合わせが集中したからか、対応を誤ったからかは不明。
ie-t.net
- 「検知→通信遮断→攻撃が止めば解除」みたいな動き
別ドメインでも同様の記述が見られた。http://drrrkari.com/ddos.txt
- SYN Flood と DNS reflection 攻撃があったようだ、 どちらにしても、さくらDNSサービスを狙ったものではなさそうなのに、落ちた。w
3. 対応
攻撃を検知すると、約12時間遮断するらしい。
- これ以外の報告は見当たらない。
4. ie-t.net 情報
DDoS攻撃の現状と対策について
通信が遮断された日時としては、さくらから届いたメールを引用すると
1回目
DoSアタック検知時刻 :2016年08月28日 01時57分08秒
通信遮断時刻 :2016年08月28日 01時57分11秒
通信遮断処理解除時刻 :2016年08月28日 13時41分16秒
2回目
DoSアタック検知時刻 :2016年08月28日 13時51分16秒
通信遮断時刻 :2016年08月28日 13時51分27秒
通信遮断処理解除時刻 :2016年08月29日 02時39分21秒
という事でした。
ご覧の通り、GMOと違ってVPSの契約は1発アウト!って事にはならず、
どうやら自動で「検知→通信遮断→攻撃が止めば解除」みたいな動きを自動的に行っている様子です。今回さくらが割と詳細なログを送ってくれたことで この度の攻撃がよそ様でも受けていたらしいDNSへの集中攻撃であること、 攻撃元が100サーバ前後であること、全てが海外サーバであること、が分かりました。
(さくら)DNSへの攻撃なのに、なぜ遮断されるのか、分からない。-- ToshinoriMaeno 2016-09-03 01:55:31
watchNS/ie-t.netに調べた結果、ie-t.net NSは
- さくらに借りたサーバ上で自前で動かしているもののようです。
これに対するDoSがあって、さくらが遮断したということか。
watchNS/gihyo.jp も確認してみよう。さくらのDNSサービスを使っていることがわかる。
- webサーバはIIJ経由の接続とのこと。
-- ToshinoriMaeno 2016-09-03 02:04:48