■ 概要
2017年6月下旬、中国や韓国の金融機関が攻撃グループから DDoS 攻撃の脅迫を受けていたようです。
▼JPCERT/CC
https://www.jpcert.or.jp/newsflash/2017062901.html
同じ時期(6月29日)、日本でもいくつかの金融機関で通信障害が発生していました。
事前に DDoS 対策を行い、攻撃を未然に防ぐ事は現在の技術では難しいですが、
いち早く攻撃を検知する事で被害を最小限に防ぐ事ができます。
そこで、Zabbix で DDoS 攻撃を検知できるか、検証してみました。
■ 検証環境
◆攻撃側(ボットネット)
C&Cサーバ : Ubuntu 16.04(1台)
ボット : CentOS 7.3(3台)、Ubuntu 16.04(2台)
◆標的(ターゲット)
Ubuntu 16.04
Apache HTTP Server 2.4
WordPress 4.7
◆Zabbix サーバ
CentOS 7.3
Zabbix 3.0
■ 検証方法
ボットネットからターゲットに対して、F5 攻撃を行い、Zabbix でWeb監視しました。
■ 検証結果
DDoS 攻撃前は、200(正常)だった HTTP レスポンスコードが、
DDoS 攻撃開始 45 秒後には、500(サーバエラー)になりました。
◆DDoS 攻撃前
◆DDoS 攻撃開始 45 秒後
■ まとめ
DDoS 攻撃が始まるとすぐにサービス不能になり、DDoS 攻撃の予兆を検知することは難しそうです。
その為、被害を最小限に防ぐ為には、DDoS 攻撃を受けた場合のインシデントレスポンスを事前に準備しておく必要があります。