設定の説明
ウェブサーバーのサービスを、軽度の攻撃、フラッド、パスワード推測攻撃から保護するための設定です。このタイプの攻撃は、ウェブサービスの負荷を増加させ、サーバーリソースを消耗させ、リソース不足によるサービス拒否を引き起こすことを目的としています。このガイドでは、サーバーレベルでのさまざまな攻撃に対する基本的な保護を設定する方法を説明します。設定例では、CentOS 7オペレーティングシステムを使用しました。
DDOS攻撃対策サービスとの違いは?
DDOS攻撃対策サービスは、保護されたIPアドレスの形で提供され、そのトラフィックは専用の機器を通過し、中規模および大規模な攻撃(主にネットワーク機器のダウンを狙ったもの)から保護されます。しかし、このサービスでは少数のボットがウェブサーバーにアクセスする軽度のフラッド攻撃を検出できず、被害を防ぐことができません。サーバーの保護には、フラッド攻撃対策とDDOS攻撃対策の両方を適用することが推奨されます。このガイドでは、フラッド攻撃からウェブサーバーを保護する方法について説明します。
ウェブサービス
選択したウェブサーバーによって、さまざまな設定方法とタイプがあります。以下に、最も人気のあるウェブサービスを挙げ、それぞれの設定方法について説明します。
BruteForce攻撃からの保護
このタイプの攻撃は、ウェブサービスに大きな負荷をかけます。攻撃者は、ウェブサイトの管理画面のログインフォームに対してリンクを指定し、複数のボットでパスワードをGETおよびPOSTメソッドで推測しようとします。ログには、同じIPアドレスからの数百、数千のリクエストが表示されるでしょう。これにより、ウェブサービスに大きな負荷がかかり、サービス停止を引き起こす可能性があります。保護のために、Fail2Banサービスを使用し、10分以内に同じリンクに対して一定のリクエスト数を超えた場合、IPアドレスを一定期間ブロックするように設定します。経験上、このタイプの攻撃では、Fail2Banが短時間で5000以上のIPアドレスをサーバーに負荷をかけずにブロックできることが確認されています。
SYN Flood攻撃からの保護
このタイプの攻撃は、通常のサイト訪問者のリクエストを模倣しますが、実際のクライアントとは異なり、ボットはサーバーからの応答を待たずに新しいリクエストをウェブサービスに送信します。リクエストが数千に達すると、サービスは応答を停止し、攻撃者がサーバーをダウンさせることができます。この攻撃は、サーバーをダウンさせるために多くのリソースを必要としないため、非常に一般的です。DDOS Deflateサービスは、このタイプの攻撃に効果的に対処します。
接続数の制限設定
ここではファイアウォールルールについて説明します。すべてのサービスに対して、1つのIPアドレスからの接続数を制限する必要があります。このルールにより、カーネル設定で定められたスタックの溢れを防ぐことができます。設定はCentOSのiptablesで行います。
負荷とLoad Averageの増加からの保護
さまざまなタイプの攻撃があり、保護サービスが対応できなかったり、フィルターが完全に設定されていない場合、攻撃中にサーバーの負荷が急増し、最終的にはサーバーが応答を停止し、アクセスできなくなる可能性があります。攻撃時にサーバーへのアクセスを失わないために、高負荷が発生した場合に必要なサービスを再起動し、他のアクションを実行するスクリプトを設定することをお勧めします。
結論
この設定により、パフォーマンスを失わずに、ほとんどの軽度のDDOS攻撃を防ぐことができ、パスワード推測攻撃からもサイトを保護できます。この設定は一度行うだけで十分です。その後、定期的にログファイルを確認し、logrotateが機能しており、ログファイルのサイズが5〜10MBを超えないことを確認してください。ログファイルが大きくなりすぎると、Fail2Banが正常に動作しなくなる可能性があります。この設定により、CPUやメモリのリソースが少ないサーバーでも安定して動作し、ブロックされたIPアドレスやその時期についての通知もメールで受け取ることができます。