Information

運用システムについて

Bフレッツ

現在、G-ZONEを設置しているサーバは、Bフレッツ光を利用した固定IPで公開しています。

Virtual Server

また、運用上の都合、バーチャルドメインを使っています。さらにこのドメインと一つのIPアドレスを複数のマシンで利用するため、ルーターのバーチャルサーバ機能を利用しています。これは以下の特徴を持っています。

  1. IPアドレスによるHTTP接続は不可能。

Firewall

ファイアウォールを使っています。このファイアウォールは次の特徴を持っています。

  1. Dos攻撃を受けたとき、一時的に外部からの接続を拒否します。
  2. SYN Flood攻撃については、無視します。
  3. PINGについては、無視します。

以上のような運用システムを使っている為に、攻撃をされたとファイアウォールが判断した時、一定の時間接続を拒否する事があります。ご理解いただければと思います。

ファイアウォールの役目は、この小さなサーバへの外敵の侵入を困難なものにする意味と、外敵からの攻撃にたいして管理者に通知を行うものです。このファイアウォールは次の特徴を持っています。

  1. サービス拒否攻撃(Dos攻撃)を受けたとき、一時的に外部からの接続を拒否します。
  2. PINGについては、無視します。

これまで、設置したファイアウォールが検出しブロックしたパケットには次の種類のものがありました。

  1. SYN Flood
    膨大な数の偽装した SYN パケットによるサービス拒否攻撃。送信元アドレスは、全て架空のアドレスでした。
  2. Null Scan
    すべてのフラグがオフとなっているパケットを使ってのポートスキャン。
  3. SMURF
    送信元アドレスを偽装した ICMP echo Requestパケット(Pingパケット)を用いたサービス拒否攻撃。2000年2月7日にYahoo!サイトをダウンさせた攻撃方法として知られるようになった。
  4. Ping-flood
    送信元アドレスを偽装した ICMP echo Requestパケット(Pingパケット)を用いたサービス拒否攻撃。非常に大きいpingパケットの転送によるもの。
  5. IP Spoofing
    送信元アドレスをファイアウォール内にあるマシンのように偽装したパケットでのファイアウォール侵入攻撃。

このうち、SYN Flood が圧倒的に多く、およそ1時間に5回ほど検出されています。日々、日本の小さなサーバが、世界中のクラッカーたちに狙われているというのを実感させられています。

注:DoS攻撃とは、Denial Of Service の通称で、サービスに過負荷をかけることで、サービスの妨害またはサービスの停止を狙う攻撃方法のことです。