システム管理やる気あるの?

ログ見遅れて大変。

オープンリゾルバ関連

リスト公開されてから、ものすごい量のクエリが…。
viewの設定まではしてたけど、DDos攻撃の一旦を担わされるためにDos攻撃受けてるのね。
よく考えれば分かることなんだけど。
deniedだらけ。

というわけで、多いとき1秒間に50回くらいアタック受けてました。
「俺のtail -fが火を吹くぜ」状態。やめろ。
そしてひどいことに、アタック受けてるログ見遅れて1週間くらい放置状態でした。
Dos攻撃受けて放置とか。
タイトルみたいなこと言われる前になるべく早く対処しないと。
これ、多分他の研究室のDNSサーバも攻撃受けてるんじゃないの?

更にブルートフォース

TCP#22のブルートフォースと相まってログがひどいひどい。
そっちは対応してるけど、相変わらずのログの量。
もうちょっと厳しめにしないとダメか。

対応

というわけでDNSクエリについて簡単にフィルタリング設定。
30秒に5回以上のクエリ飛んできたらほげほげ。
ちょっと途中でハマってしまって
「sshログインできなくなっちゃった」とか。あるある。
あちゃー、udp#53指定忘れてたー、とか。
なんとかできないかといろいろしてみたけど、未熟な僕では対処できず。
結局コンソールから再設定。情けない。

UDPは設定が楽でヨロシイ。
TCPなんかSYN,ACK,RST,FINうわー状態。
UDPとIPv6のヘッダは綺麗で好きです。
もちろんEthernetヘッダも好きです。

何はともあれ、これで暫定的な対処は終了。
あとはしっかりログ監視して〜、と。
なんとかログ発見から1~2時間くらいで対応完了。

対応早くなったなー、とか最近よく思います。
今月だけでシスカンチケット、23個完了してたのかー、と。
redmine使うと達成感得られやすいですね。“げーみふぃけーしょん"だっけ?

4/23

今日(23日)はビールの日らしい。
んー、美味しい。