システム管理やる気あるの?
ログ見遅れて大変。
オープンリゾルバ関連
リスト公開されてから、ものすごい量のクエリが…。
viewの設定まではしてたけど、DDos攻撃の一旦を担わされるためにDos攻撃受けてるのね。
よく考えれば分かることなんだけど。
deniedだらけ。
というわけで、多いとき1秒間に50回くらいアタック受けてました。
「俺のtail -fが火を吹くぜ」状態。やめろ。
そしてひどいことに、アタック受けてるログ見遅れて1週間くらい放置状態でした。
Dos攻撃受けて放置とか。
タイトルみたいなこと言われる前になるべく早く対処しないと。
これ、多分他の研究室のDNSサーバも攻撃受けてるんじゃないの?
更にブルートフォース
TCP#22のブルートフォースと相まってログがひどいひどい。
そっちは対応してるけど、相変わらずのログの量。
もうちょっと厳しめにしないとダメか。
対応
というわけでDNSクエリについて簡単にフィルタリング設定。
30秒に5回以上のクエリ飛んできたらほげほげ。
ちょっと途中でハマってしまって
「sshログインできなくなっちゃった」とか。あるある。
あちゃー、udp#53指定忘れてたー、とか。
なんとかできないかといろいろしてみたけど、未熟な僕では対処できず。
結局コンソールから再設定。情けない。
UDPは設定が楽でヨロシイ。
TCPなんかSYN,ACK,RST,FINうわー状態。
UDPとIPv6のヘッダは綺麗で好きです。
もちろんEthernetヘッダも好きです。
何はともあれ、これで暫定的な対処は終了。
あとはしっかりログ監視して〜、と。
なんとかログ発見から1~2時間くらいで対応完了。
対応早くなったなー、とか最近よく思います。
今月だけでシスカンチケット、23個完了してたのかー、と。
redmine使うと達成感得られやすいですね。“げーみふぃけーしょん"だっけ?
4/23
今日(23日)はビールの日らしい。
んー、美味しい。