2018/11/18の話ですが書いていなかったので。

11月18日の夜中から19日にかけて記録できた限りでは最大2.5Gbps程度の攻撃でした。

CloudFlareを通していたため、当初はここの設定変更のみで対処可能と考えていましたが、実IPが漏れていて、そこへ攻撃が来ていました。

IPアドレスが漏れた原因として考えられるもの

  • OGPの表示のためのリクエストがメインのサーバーから直接送られていた
  • ActivityPubの連合への送信もメインのサーバーから直接送られていた
  • CloudFlareを介さないアクセスにも応答してしまっていたため、IPv4をすべてスキャンして記録しているサービスを利用して特定することが可能な状態であった

対処

  • まずIPアドレスを変更しました。LinodeではIPv4の追加はサポートに連絡する必要があったため、インスタンスを新規に一つ借り、IPアドレスを入れ替える機能を利用することで短時間で変更可能でした。
  • 次にIPアドレスが漏れてしまう部分に対応をしました。
  • 外部へのアクセスにはプロキシを通すようにし、プロキシ用にサーバーを一台割り当てました。
  • CloudFlare以外からのアクセスにも応答する必要は無かったのでしないように設定を変更しました。

その他?

別の用途で利用していたサーバーにもDDoSが来たことがあったのでそのときのホスティング側の対応を

  • Vultr:攻撃発生後少ししてからnull routingされ外部からのアクセスが一切届かない状態に、数時間で解除
  • linode:帯域使用が増えているアラートが出るもnull routingのような対応はなし
  • Scaleway:何事も無かったかのように放置、(200Mbpsまでの帯域割り当てであるのに1~2Gbps以上出ていたのにも関わらず)