splapiがDoS攻撃されたっぽい。

2016-09-27
- Memo

各サイトではDoS/DDoS攻撃っぽいアクセスを受けたらアラートが飛ぶようになってるのですが、初めてアラートが飛びました。ちゃんと動いてよかったです。よくないけど。ちなみにsplapiは1秒以内に規定値以上のアクセスがあったり、同一IPで同時接続数が規定値以上を超えたりすると429が返るようになっています。（ブログは503）

time:27/Sep/2016:19:30:30 +0900 host:157.7.174.40       request:GET /regular/now HTTP/1.0       status:200   size:132 referer:-       ua:-    reqtime:0.017   upsttime:0.016
time:27/Sep/2016:19:30:30 +0900 host:157.7.174.40       request:GET /gachi/next HTTP/1.0        status:200   size:151 referer:-       ua:-    reqtime:0.015   upsttime:0.014
time:27/Sep/2016:19:30:30 +0900 host:157.7.174.40       request:GET /regular/next HTTP/1.0      status:200   size:126 referer:-       ua:-    reqtime:0.016   upsttime:0.014
time:27/Sep/2016:19:30:30 +0900 host:157.7.174.40       request:GET /gachi/now HTTP/1.0 status:200      size:163      referer:-       ua:-    reqtime:0.022   upsttime:0.021
time:27/Sep/2016:19:30:30 +0900 host:157.7.174.40       request:GET /regular/now HTTP/1.0       status:200   size:132 referer:-       ua:-    reqtime:0.015   upsttime:0.014
time:27/Sep/2016:19:30:30 +0900 host:157.7.174.40       request:GET /gachi/next HTTP/1.0        status:200   size:151 referer:-       ua:-    reqtime:0.020   upsttime:0.018
（以下429が出るまで続く）

splapiが攻撃されてるっぽいですが、攻撃するなら一番処理が重いはずの/gachiを狙えばいいはずなのでよくわかりません。

 ~  nslookup  157.7.174.40                                                876ms  2016年09月27日 20時12分00秒
Server:         210.188.224.11
Address:        210.188.224.11#53

Non-authoritative answer:
40.174.7.157.in-addr.arpa       name = cpanel01wh.tyo1.cloud.z.com.

Authoritative answers can be found from:

GMO系列ですね。403を返すようにしておきました。
GMOってレンタルサーバがDDoS受けたら解約迫るようなとこだったと思うのですが、自分がDDoSしてる場合はどうするのでしょう。ちなみにServersMan@VPS使ってた時にお名前VPSから攻撃食らったときは調査依頼送って無視されました。今回はどうでしょう。
DDoS攻撃されたらそこで試合終了!? レンサバから利用停止を宣告される前にできる8つの対策 – Qiita

巻き添えくらってアクセスできなくなった方は連絡いただければ対応しますので、お手数ですが連絡ください。

追記

アクセスログ見たら単体攻撃っぽかったのでタイトルをDDoSからDoSに変えました。
Dos攻撃とDDos攻撃の違いと対策についてまとめてみた
対象IPから攻撃はされてないけどちょくちょくアクセスされてますね。動かしてたスクリプトバグってただけなのかなぁ。

追記2

攻撃元から連絡があったので解除しました。サーバサイドで動かしているAPIを呼び出すスクリプトがDoS攻撃を受けて、そのスクリプトが（結果的に）踏み台になってDoS攻撃してたそうです。いくらなんでも理由がひでえと思ったのですが、パニックラビリンス聴いてたら脳みそキャンパスごじげんでどうでもよくなりました。
以下Qiitaのデザインパターンは参考になります。
サーバサイドで複数Web APIを呼び出すときのデザインパターン – Qiita
~~結局GMOからは連絡きませんでした。~~きました。

追記3

– (お客様センター) – 2016/10/03 18:54
xxxx 様

いつもご利用いただき、まことにありがとうございます。
Z.com お客様センターです。

ご案内にお時間を要しまして、申し訳ございません。

該当のユーザー特定を行い、弊社にて対応を行わせて
頂きました。

本件につきまして情報のご提供を頂き、誠にありがとうございました。

今後ともZ.comをよろしくお願いいたします。

なんというか…今後自分で契約してGMO系のサーバは使うことはないだろうな…。ドメインvalue-domainだけど…。