@echikara やはりDDoSにもWAFは導入すべきなのでしょうか?
効果はあるとは思いますが、そこまで到達された時点で(WAFは)結構処理が重いのかなぁ・・・と軽視していました。(もちろん、多層防御という点では導入すべき、だとは思います。)
素人考えですが、FWで抑えるのかなぁということで「iptables hashlimit」かなぁ・・・と思っていました。(イマドキは、FWでルール化できるような単純なDDoS攻撃ではないのかもしれませんが・・・)
Conversation
Notices
-
Y.Yamashiro@IA Revo申込済 (shukukei@yukari.cafe)'s status on Monday, 29-Oct-2018 21:58:20 JST
Y.Yamashiro@IA Revo申込済
-
Y.Yamashiro@IA Revo申込済 (shukukei@yukari.cafe)'s status on Tuesday, 30-Oct-2018 23:47:01 JST
Y.Yamashiro@IA Revo申込済
@echikara Webサーバであれば、手っ取り早いのはCloudflareを通すようにして、サーバ本体のIPアドレスは隠してしまう方法でしょうか。
(加えてFWでCloudflareのIP以外は遮断。ちなみに kotonoha.cafe はこの方式を取っています。)ものすごく単純な攻撃であればiptables hashlimitでも対策できそうですが、少し複雑な攻撃に対してはWAF等も必要かもしれないなぁ、と考えています。
よほどの技術(とお金)をかけなければ、ピンポイントで狙われれば回避はできないですので、完璧な対策というものは難しいと思いますが・・・いたずらレベルの攻撃や、ピンポイントで狙われていない攻撃は防げるので導入する意味はあると思います。
という思想に基づき、ココはIDCFさんのバックボーン + iptables + Webサーバ設定 + α
の多層防御構成にしています。
(ただ、ピンポイントで狙われたら落ちると思います・・・例えば・・・政治的なトゥート等?) -
Y.Yamashiro@IA Revo申込済 (shukukei@yukari.cafe)'s status on Wednesday, 31-Oct-2018 00:43:15 JST
Y.Yamashiro@IA Revo申込済
@echikara
そうですねぇ、例えばUDPでDDoS攻撃(DNSampなどが有名)を受けると、よほどサーバでは対処できない(ネットワーク機器で対処が必要)だと思いますので、ネットワークで対策が取られているサービスを使わざるを得ないかと思います。
Minecraftサーバであれば、IPアドレスとport番号は特定の人にしか教えない、のがお手軽な対策でしょうか・・・ -
Y.Yamashiro@IA Revo申込済 (shukukei@yukari.cafe)'s status on Wednesday, 31-Oct-2018 01:06:06 JST
Y.Yamashiro@IA Revo申込済
@echikara 海外サービスはDDoS対策を売り文句にしているものも多いのですが「海外に置くとラグい」でしょうね・・・
(もちろん、どの会社もある程度の対策は取っていると思います。)国内サービス(かつ個人でも買える価格)ではIDCFさんくらいかなぁと思いますが、Minecraftサーバは重たいのでS1プランで収まらない場合は料金が一気にお高くなっちゃいますね・・・
次善の策として、サーバとは別にFW設定が行えるサービスが良いかなぁ、とは思います。(GMO ALTUSさんや、WebARENA VPSクラウドさん、など)実は、ウチはその辺りの候補でしばらく悩んだ結果。IDCFさんのS1プランを複数契約にすることを選んで先日引っ越しました。
(Mastodonは複数台に分散しやすい設計になっているのが幸いでした。) -
Y.Yamashiro@IA Revo申込済 (shukukei@yukari.cafe)'s status on Wednesday, 31-Oct-2018 22:59:25 JST
Y.Yamashiro@IA Revo申込済
@echikara spigotは初めて聞きました。
私が(昔)遊んでいた頃はCraftbukkitを入れていましたが今も似たような状況なのですね。
1GBギリギリであればzswapやzramなどで耐えるという手もないわけではないですが・・・
-