ログ監視ツール swatch を導入
最終更新日時 : 2009-01-24 09:18:02
DNSサーバーへの攻撃 で named.conf の blackhole による対応を行いましたが、攻撃を受けるごとにIPアドレスを登録して named を再起動というのはやってられません。
そこで、ログ監視ツール swatch を導入し、コマンド実行アクションで iptables によるブロックを行うようにしました。
構築情報は、以下になります。
http://www.system-act.com/server/swatch.html
なお、現時点ではブロックのスクリプトは単に
swatch の導入に伴い、named.conf の blackhole はコメントアウトしました。
(以下、2009/01/20追記)
なぜか、swatch 導入後も 69.50.142.11 がブロックされないで syslog に
client 69.50.142.11#xxxxx: view external: query (cache) './NS/IN' denied
が延々と記録されています。
調べてみると、検出時に実行するスクリプトに問題がありました。
iptables への二重登録を防ぐため、念のために入れていた
ですが、これだと既に 69.50.142.110 が登録されていた場合、69.50.142.11 が二重登録と判定されてしまいます。
と $IPADDR の前後に空白を入れなければなりません。
修正後、ブロックされるようになりました。
そこで、ログ監視ツール swatch を導入し、コマンド実行アクションで iptables によるブロックを行うようにしました。
構築情報は、以下になります。
http://www.system-act.com/server/swatch.html
なお、現時点ではブロックのスクリプトは単に
・iptables によるブロックを実現しているのみです。
・一定時間後にブロックを解除
swatch の導入に伴い、named.conf の blackhole はコメントアウトしました。
(以下、2009/01/20追記)
なぜか、swatch 導入後も 69.50.142.11 がブロックされないで syslog に
client 69.50.142.11#xxxxx: view external: query (cache) './NS/IN' denied
が延々と記録されています。
調べてみると、検出時に実行するスクリプトに問題がありました。
iptables への二重登録を防ぐため、念のために入れていた
iptables -L -n | grep "DROP.*$IPADDR" > /dev/null
ですが、これだと既に 69.50.142.110 が登録されていた場合、69.50.142.11 が二重登録と判定されてしまいます。
iptables -L -n | grep "DROP.* $IPADDR " > /dev/null
と $IPADDR の前後に空白を入れなければなりません。
修正後、ブロックされるようになりました。
この記事への参照記事
DNS サーバーへのアタック対策として導入したログ監視ツール swatch ですが、SSH サーバーへのアタック対策も swatch で行うようにしました。
それに伴い、アタックを受けた時に実行するスクリプトを共通で使用...
(2009-12-05)
この記事へのコメント
takosan さん
2009-01-23 15:22:17
すばらしい記事をありがとうございました。
同じようなログが山ほど来ていてうんざりしてました。
記事を参考に対策しましたので暫くはいけると思います。
管理者 さん
2009-01-24 09:18:02
takosan さん
少しでもお役立てたようで、嬉しく思っています。
Googleで検索してみたところ、ワールドワイドな出来事みたいですので、いずれプロバイダあたりが元から断ってくれるといいのですが…。
この記事へのコメントを追加する
DNS サーバーへのアタック対策として導入したログ監視ツール swatch ですが、SSH サーバーへのアタック対策も swatch で行うようにしました。
それに伴い、アタックを受けた時に実行するスクリプトを共通で使用...
(2009-12-05)
takosan さん
2009-01-23 15:22:17
すばらしい記事をありがとうございました。
同じようなログが山ほど来ていてうんざりしてました。
記事を参考に対策しましたので暫くはいけると思います。
同じようなログが山ほど来ていてうんざりしてました。
記事を参考に対策しましたので暫くはいけると思います。
管理者 さん
2009-01-24 09:18:02
takosan さん
少しでもお役立てたようで、嬉しく思っています。
Googleで検索してみたところ、ワールドワイドな出来事みたいですので、いずれプロバイダあたりが元から断ってくれるといいのですが…。
少しでもお役立てたようで、嬉しく思っています。
Googleで検索してみたところ、ワールドワイドな出来事みたいですので、いずれプロバイダあたりが元から断ってくれるといいのですが…。
この記事へのコメントを追加する
この記事へのトラックバック
トラックバックはありません。
この記事へのトラックバックを追加する
トラックバックURLは ここを右クリック し、「ショートカットのコピー」でコピーできます。
また、こちらのフォーム からトラックバックを送信することもできます。
なお、この記事への言及リンクのないトラックバックは一旦保留させていただいております。ご了承ください。
(トラックバック送信エラーになった場合でも、保留が解除されることによりトラックバックは受け付けられます。)
Copyright © 2004-2009 System House ACT. All Rights Reserved.
(Comments and Trackbacks each author is also exist Copyright.)
トラックバックURLは ここを右クリック し、「ショートカットのコピー」でコピーできます。
また、こちらのフォーム からトラックバックを送信することもできます。
なお、この記事への言及リンクのないトラックバックは一旦保留させていただいております。ご了承ください。
(トラックバック送信エラーになった場合でも、保留が解除されることによりトラックバックは受け付けられます。)
また、こちらのフォーム からトラックバックを送信することもできます。
なお、この記事への言及リンクのないトラックバックは一旦保留させていただいております。ご了承ください。
(トラックバック送信エラーになった場合でも、保留が解除されることによりトラックバックは受け付けられます。)
Copyright © 2004-2009 System House ACT. All Rights Reserved.
(Comments and Trackbacks each author is also exist Copyright.)
(Comments and Trackbacks each author is also exist Copyright.)
