海保流出動画をミラーしたら、支那からDDoS攻撃を受けた件

内容はタイトルそのままです、はい。

で、本件のだいたいの流れを説明。
(流れは、Apacheのログを解析ソフト『ApacheLogViewer』に読み込ませた結果(行末に『A』とに記載)・ツイッターで呟いていた内容(行末に『T』とに記載)・記憶を元に作成。)

・2010年11月5日 未明
YouTubeに、海上保安庁が撮影した中国漁船衝突事件の動画がうpされる。
ツイッター等で知っていたが、タイミング的に見逃す。

・08時頃
YouTubeの動画がうp主によって削除、ただしすでにミラーが多数発生。

・09時前後
ミラーのZIPをダウンロードし、戸締り団あぷろだにアップロード。

・09時頃 - A
2ちゃんねるの2つのスレにURLを貼り付けたところ、いくつかのスレに拡散される。
その後、国内から複数のアクセス(携帯からも含む)がある。

・12時21分49秒 - A
支那IPからの初アクセス。
最初はブラウザ(GreenBrowser)からのアクセスっぽいUAを吐いているが、その22秒後にはDoSツールとおぼしきUAからのアクセスに切り替わっている。

・13時36分46秒 - A
支那IPからのDoS攻撃が複数発生。
この時点で対処していれば良かったのだが、DoS攻撃が行われているとは分からず対応出来ず。

・13時49分40秒 - A
DoS攻撃による初の503エラー発生。

・13時55分頃 - T
サーバコントロールパネルにある『リアルタイム状況』を見たところ、支那IPからのアクセスが来ている事を確認。
リクエストは複数のGETだったが、DoS攻撃とは思わなかったのでスルーしてしまう。

・14時09分頃 - T
同日00時04分50秒から12時34分03秒までの生ログを取得、テキストビュアーの支援を使い手動でのログ解析開始。

・15時頃 - A
支那IPからのDoS攻撃が本格化。

・16時29分頃 - T
ログを解析中、支那IPからのアクセスが異常なほどある事、それにより503エラーが多発している事に気付く。

・16時46分頃 - T
支那IPからの多数のアクセスをDoS攻撃であると認識、対処を開始する。

・17時頃 - A
支那IPからのDDoS攻撃により、503エラー多発。

・17時07分頃 - T
まずは4つのIPアドレスを含むIPアドレス帯を.htaccessにてdeny行きに。
その後、複数のIPアドレス帯を次々deny行きに

・17時08分29秒頃 - A/T
ログ解析により、UAに統一性があること(=同一のDoSツールを使用している事)を確認。

・17時24分22秒頃 - T
ANSI WHOISに加えネットマスク変換スクリプトを併用開始。
これにより、deny行きの効率がアップ。

・17時40分頃 - T
いい加減ビュアーでのログ解析に疲れてきたので、Apacheのログ解析ソフトを導入。
これにより、deny行きの効率が格段にアップする。

・17時49分頃 - T
特定のRefererをdeny行きに、これによりDDoSの大半が403となる。

・18時頃 - A
いたちごっこ状態ではあるものの、徐々に503エラーが発生しなくなってくる。

・18時12分40秒頃 - T
現時点で29のIPアドレス帯をdeny行きに。

・18時23分53秒 - T
用事のある為、不安は残るが一旦PCから離れる。
『iPod touch&WiMAXで対処できる』と思っていたが、WiFiルータの電池切れ等に見舞われ一切対処出来ずに終わる。


この間も、支那IPからのDDoS攻撃は続く。
Refererのdenyによる403エラー・DoS攻撃によるステータスコード206・503エラーが、Apacheのログには残されている。
- A


・2010年11月6日 11時24分45秒頃 - T
アップロード後から日付変更までのApacheログの解析開始。

・12時18分51秒頃 - T
ログ解析中、全てのDDoS攻撃が同一のDoSツールによって行われている事を再認識。
ただし、DDoS攻撃以外にも類似UAがあった為、deny送りは断念する。

・16時09分頃28秒頃 - T
本件を『産経新聞 九州総局』にたれ込む。
が、記者不在の為折り返しの連絡となる。

・17時54分04秒頃 - T
産経新聞九州総局所属の記者との通話終了。
記者の名前・メールアドレス・非公開の電話番号を入手。

・20時13分頃
記者へのメール送信完了。
メールには『サーバコントロールパネルで確認出来たDoS攻撃の様子・攻撃中のApacheログ』のスクリーンショットを添付。
該当のファイルはこちらから閲覧可能。

・20時17分13秒 - A/T
ログ解析により、支那IPからのDDoS攻撃の総数が判明。(産経新聞記者へのメール内にも記述済み、これについては後述。)

・20時25分17秒頃 - T
GIGAZINEへのタレコミ完了。
尚、この件に関するGIGAZINEからのアポイントは現時点では一切なし。

長々となりましたが、簡潔にまとめると
海保流出動画のZIPをミラー→2ちゃんねるにURLを貼る→拡散→支那の目に→支那からDDoS発生→deny送りで対処
こんな感じです。


支那IPからのDDoS攻撃の総数ですが
・2010年11月5日 08時50分42秒〜23時59分22秒
24,583回

・2010年11月6日 00時04分50秒〜23時23分46秒
7,318回
※注意 この総数は誤差を含む場合があります。また、Apacheのログに記録されている回数を全て(ステータスコード:200/206/403/503)計算に入れています。



で、何を言いたいかと言いますと
シナーは簡単にDDoS攻撃を仕掛けてくる、それもニダー同様に掲示板で呼びかけてる?
と言うことです。

今回のDDoS攻撃については、産経新聞の記者にタレコミもしてます。
ただし、記事にして貰えるかは一切分かりませんww

また、その他のあぷろだやサイトにもDoS攻撃(DDoS攻撃)をしている可能性があります。
もし503エラーが発生していたら、管理者に連絡して下さい。
それだけで、管理者の対処が早くなります。



本ページは、現在も継続中の事項を取り扱っています。
ただし、新しい情報は中々更新されないかもしれません。
新しい情報は管理者である携帯インフルのツイッターから確認出来ます。

ページ作成日:2010年11月8日
最終更新日 :2010年11月8日
ページ作成者:携帯インフル ◆INFUL/XEWA



Powered By Maido3.com