GMOクラウド、利用者に対し「無自覚に第三者にDDoS攻撃させた」として利用停止を宣告する 77
ストーリー by hylom
GMOクラウドのサーバーに対してはDDoS攻撃がものすごく有効なようです 部門より
GMOクラウドのサーバーに対してはDDoS攻撃がものすごく有効なようです 部門より
あるAnonymous Coward 曰く、
GMOクラウドが運営する「GMOクラウドPublic」というクラウドサービスでホスティングされていたサーバーがDDoS攻撃を受けたそうだ。ここまでは珍しい話でも無いが、このサーバーを管理していたユーザーに対し、GMOクラウド側はドメイン変更を求めるとともに、ドメインを変更しない場合はサービスを提供できないと宣告したという(DDoS攻撃されたらそこで試合終了!? レンサバから利用停止を宣告される前にできる8つの対策)。
GMOクラウド側はDDoS攻撃を受けたユーザーに対し、IPアドレスの再割り当てを要求。管理者側はこれに応じてIPアドレスを変更したもののDDoS攻撃は収まらなかったため、続いてGMOは「ドメインを変更しろ」と主張したという。さらに、「(DDoS攻撃を受けることは)不正アクセスだ」「無自覚に第三者にDDoS攻撃をさせた」などと主張、サービス停止処置を行ったという。
今時DDoSなんて (スコア:2, 興味深い)
Tor Hidden Wikiに乗ってるDDoSサービスにBitcoin払いで頼むだけと聞くので、DDoS対策は必須ですねぇ。
従量制のところとか大丈夫なのだろうか…?
# Google App EngineのサイトがGoogle Botのアクセスだけでクオータ上限に達して、Google Webmaster Toolsがエラーを知らせてきたのでAC
GMOのホスティングサイトに片っ端からDDOS攻撃したら (スコア:2)
ホスディングサイトは全て停止するということですかね
それにしてもドメインの変更を要求するってのは厳しいな。
上位で対応が出来ないのであればいつでも引越し出来るような作りにするか負荷分散とか経路設計出来るサービスとかにしとかないと対処出来ないな。
Re:GMOのホスティングサイトに片っ端からDDOS攻撃したら (スコア:1)
なるほど。
ホスティングサイトを潰す攻撃のように見えて、実はGMO自体を潰す作戦なんですな。
今は違うかも知れないけど、そのうちGMO憎しでやっちゃう人でてきそう。
Re: (スコア:0)
DDoSだと対応難しいからなぁ
単にDoSなら何らかの手があると思うけど
攻撃元が特定出来れば、業務妨害で訴えることも出来るかもしれないけど
簡単に特定できるとは限らないからなぁ(今流行?のリモート操作とかあるかも知れないし)
Re: (スコア:0)
今流行なのは、リモート操作じゃなくてDNS Ampですよ。
話題になったのが先週だったらなぁ……… (スコア:2, すばらしい洞察)
ビックサイトで「Japan IT Week」やってて、出展していたからブースで色々聞いちゃう人たちが出て、現場が問い合わせDDoSで苦労したんだろうなぁ。
企業利用でDDoS食らっても「ドメイン変えろ」って言うのかなぁ? その企業が発言力がでかくて「
GMOクラウドとある会社でDDoS対応で酷い目にあったので、『DDoS攻撃にも上位で対抗するので問題ありません』と言われて乗換ました」なんて採用事例出されたらどうするんだろう?※っつーか、俺が上司なら部下に対応問い合わせさせる。個々の事例によるって言われたら「DDoSでドメイン変えろという話題が出ているが、同じようにうちが攻撃されたドメイン変えろと言うのか?」文章で回答求めさせる。
Re:話題になったのが先週だったらなぁ……… (スコア:1)
多分もうこれで普通の企業はこちらを利用しないからOKなのかも。
Re:話題になったのが先週だったらなぁ……… (スコア:1)
曖昧に回答→「そんな回答しかできないなら止めるぞ」→「どうぞどうぞ」
俺がGMOならこうするわ、きっと。
Re: (スコア:0)
要は、攻撃を食らったら即引っ越しするなりサイトを潰せるのでなければ
GMOは使うなってGMOが事実上言ってることでしょ。
Amazon EC2 でもさくらのクラウドでも、DDoS食ったぐらいで
即出て行けとか言われないですよ。公開しているIPは(遮断されて)
使えなくなっちゃうのでDDoS 中に ssh で入りたいなら
複数の Public IP を前もって割り当てて裏口を作っておく必要は
あるかと思いますが。
DoSなら拙宅にも毎日来てる。 (スコア:1)
Re:DoSなら拙宅にも毎日来てる。 (スコア:1)
自宅なら ping に応答しないようにするだけでもほとんど来なくならないか?
デフォルトでディセーブルです。 (スコア:1)
Re: (スコア:0)
単なるスキャンをDoSと思い込んでいないか?
そうかもしれない。 (スコア:1)
[DoS Attack: SYN/ACK Scan] from source: 178.32.167.8
[DoS Attack: ACK Scan] from source: 222.171.176.82
[DoS Attack: TCP/UDP Chargen] from source: 74.82.47.49
[DoS Attack: RST Scan] from source: 111.161.23.109
[DoS Attack: ACK Scan] from source: 202.112.38.190
[DoS Attack: ACK Scan] from source: 218.26.181.227
[DoS Attack: ACK Scan] from source: 59.49.25.66
[DoS Attack: ACK Scan] from source: 42.104.61.203
[DoS Attack: IP Spoofing] from source: 192.168.1.2
[DoS Attack: SYN/ACK Scan] from source: 37.59.252.171
[DoS Attack: RST Scan] from source: 41.74.76.211
[DoS Attack: SYN/ACK Scan] from source: 198.50.176.209
[DoS Attack: ACK Scan] from source: 125.39.174.34
[DoS Attack: ACK Scan] from source: 111.161.1.98
[DoS Attack: ACK Scan] from source: 111.161.1.34
[DoS Attack: ACK Scan] from source: 118.186.135.98
[DoS Attack: SYN/ACK Scan] from source: 178.20.231.2
[DoS Attack: SYN/ACK Scan] from source: 198.50.176.209
[DoS Attack: IP Spoofing] from source: 192.168.1.21
[DoS Attack: IP Spoofing] from source: 192.168.1.7
[DoS Attack: ACK Scan] from source: 103.25.13.18
[DoS Attack: ACK Scan] from source: 103.25.13.18
[DoS Attack: IP Spoofing] from source: 192.168.1.4
[DoS Attack: IP Spoofing] from source: 192.168.1.2
なるほど (スコア:1)
出て逝ってほしかったからDDoSなんだ! (スコア:1)
利益率の薄い(リソースを食う)、かつ、立場の弱い(個人等)に退場いただく手段としての自演(?)DDoSだったらいやですね
ドメイン変更で対応? (スコア:0)
詳細がわからないので何とも言えないけど、IPアドレスを変更して駄目だということは
そのドメインが狙われていると考えるのは間違いではないけど・・・ドメインの変更はなるべくやりたくないのもわかる。
でも、この人ドメイン名に何やらこだわり強すぎのような気も
そこらへんに原因がありそうな気もするけど・・・
まぁ公表出来ないドメインであることは確かなので、そういうサービスをしてたのかな?
SEOやリスティングなど(フィッシング?)いろいろやってたんだろうね。
Re:ドメイン変更で対応? (スコア:1)
>ドメイン名に何やらこだわり強すぎ
あなたの解釈違いだと思います。
ドメイン名を変更しても解決にはならないのではないか、とGMO上司と会話していますよね。
解決にならない対策をする意味があるのかというのがポイントだと思いますよ。
Re: (スコア:0)
犯罪の被害者が、犯罪にあったときに不要な情報まで開示する義務はないし
開示されなかったと言うその一点だけで根拠もなく妄想して批判する奴は例外なくクズ
Re: (スコア:0)
いや普通に顧客名義のドメインに対してサーバ管理等任されている業務であれば、
普通はブログなんかで公表しないでしょう。
個人でやってるサイトなら問題ないでしょうが。
Re: (スコア:0)
こだわりも何もサービスのドメイン名変えるって事業止めますってのとほぼ同義だろ? 偽サイトとして検索から弾かれることも
有り得るし、そもそも相手はサービスを狙ってくるんだからドメインを何度変えても被害者が店たたむまで続ける
誘拐事件で身代金を満額すぐに払いましょうっていうのと変わらん
GMOクラウドだけでなく、他社でもあるのでしょうか? (スコア:0)
この辺、並列比較的なデータがあれば「クラウドサーバー選択はココで決まる!」って記事になってGMOクラウドが大きく差がつけられる(差を付けられるというプラス面ではなく差が付けられるというマイナス面)で評価されるでしょうね。
まあ、コマーシャルベースの記事だとクレームとか広告局からの圧力で実現しないでしょうけどwwww
※今回のはSYN flood攻撃だから、それをユーザー側で設定管理できない or 運営が止めなきゃ出てくしかないよね。
Re: (スコア:0)
今のところ
AWS>>>>>GMOクラウド
なのだけはまちがいない
Re: (スコア:0)
DDoS攻撃で必要になった通信分を全て集金できる AWS と比べるのは可哀想でしょ
Re:GMOクラウドだけでなく、他社でもあるのでしょうか? (スコア:1)
例えばEC2の場合、インターネットからのデータ受信は $0.00 /GB ですよ。
Re:GMOクラウドだけでなく、他社でもあるのでしょうか? (スコア:1)
DDoSで大量にアクセスさせれば高額請求可能だろうな。
AWS側で「DDoSによる送信だから請求しません」という処置がされるならともかく。
話を戻すと、DDoSを防ぐにはTier1くらいのプロバイダの協力が必要だから、GMOがどの程度の業者か知らないが、ホスティング会社程度の力しかないならDDoSから顧客を守ることは出来ないと思う。
その場合、「残念ながら、うちではお客様のサーバを安全に保守することができないので、他を探してください」ってことになる。
これはホスティングというか、IT関連以外でも同じだよね。
例えば、右翼がターゲットにした個人の自宅に大勢で押しかけ、大音響で抗議活動をした結果、警察は見てるだけで止めることもせず、ターゲットとなった一般市民は引っ越しを余儀なくされるという事例のように。
Re: (スコア:0)
それでも今回の件はSYN floodなんだから、サーバーから送ったACKパケット分の費用は請求されるよね
頭が悪いにも程がある (スコア:0)
別に顧客がDDOS受けようが構わないだろ。
それも含めて商売だろうに何やってんだ。
仮想ホスティング系なら正々堂々と、消費したリソースでお金取ればいい。
しかも今時SYN Flood対策も出来ませんなんて、良く言えたものだ。
さっさと過当競争でご退場願おう。
Re:頭が悪いにも程がある (スコア:1)
良くあるパターンは、DDoS攻撃側が攻撃を止めるための身代金を要求する、というものです。
ホスティング提供側が消費したリソースで高い料金を取ると、攻撃を止めさせるために身代金を払う利用者が増えて、DDoS攻撃者のインセンティブが増します。
それによってDDoS攻撃が増えると、ホスティング提供側は自分を苦しめることになります。
Re:頭が悪いにも程がある (スコア:1)
DDoS攻撃を舐めないですか?
今回は違うっぽいですが,今時帯域なら数Gbps強のDDoS攻撃なんて簡単に作り出せるんですよ?
そんなんをお客さんに転嫁したらお客さん火の車ですよ.
たかだか数千円のサービスでそこまでコストをかけれるとお思いかな?
Re:頭が悪いにも程がある (スコア:1)
>高いから辞めますって顧客が言ってくれるなら、今回みたいにクレーム付けられずに自主的に去ってくれるのだから僥倖だろ。
>料金を取る上で、矛盾の無いサービスとなる。
このご時世,そんなサービスが安いVPSサービスがある中で流行ると思いますか?
海外ならトラフィックに応じて課金されるサービスが多いのでその理論も成り立ちますけど,数千円ポッキリ
なサービスが多い日本でそんなサービスが成り立つのはトラフィック課金してるクラウド系のサービスでしょう.
>そもそも、リソース売りなのだから、1VMが他に影響出して喰い潰せるようにする時点で、間違ってんじゃないの?
>VM別のリソース割り当て上限とかって、基本機能であったよね?
CPUやメモリはそうですけどネットワークの場合,いくらサーバ側で絞ってもDDoS系の攻撃には無力ですよ.
サーバまでは届いちゃうわけですから.
ネットワーク機器で絞るにしても,安価にGbps単位のトラフィックをIP単位で絞れるものなんて早々無いですし.
そして,今時GbpsオーダーでDDoS攻撃が来るのはご存じないかな?そして,10GbEなんて案外簡単に埋められて
しまうことを.
>もっと上位のNWが潰されていたとしても、QoSなり、いくらでもやりようはあるんじゃ無いの?
>DDoSされてるサーバ自体が使えないのは仕方ないし、サーバ側で対策打てないなら、やめるなり引っ越すなり自分で判断してもらえば良い。
それが今回の例では?
>大事なのは、顧客に与えたリソース以外の場所でサービスが侵害されているのならば、それは自社のサービスに対する攻撃でもあると自覚する事ではないですか?
>無関係決め込んでますが、自社領域に影響出たなら犯人捕まえて損害賠償請求するのが、通りだと思いますけどね。
お金と人的リソースが無限大ならそういうことも出来るでしょうね.
でも,現実はそれらの問題が大きなファクターを持ちます.
ネットワーク機器もタダじゃないですし,サーバもタダではない.
それらを総合的に見た結果が今回のような事例なんではないんですか?
たかが,数千円のサービスにそこまで手厚いサポートを求めるのが間違いですし,手厚い保証がほしいのであれば
数十万,数百万レベルでお金を出さないと行けないわけです.
Re:頭が悪いにも程がある (スコア:1)
論理的な反論が出来ずそんな言いがかり的な内容を書かれても…….
どんなサービスにでも限界はあるし,/.J民なら分かるはずだが.
それがわからない,というか考えようともしない方がどうかしてる.
自分が指摘してる点について何も考えてないでしょ?
Re: (スコア:0)
>今時SYN Flood対策も出来ません
ネットワーク機器はそこまで詳しくはないのだけど、SYNパケット制限機能すらないルーターってよほど低価格のルーターなのかな?
Re:頭が悪いにも程がある (スコア:3, 参考になる)
普通ルータで制限するような機能は大手では使いません.
トラフィック量的に無理がありますから.
ネットワーク機器上でsFlowなんかを吐かせた上で,DDoSディテクタを使って検知を行いDDoSが発生した場合は該当IPセグメント丸ごとDDoS対策機器に経路を向けて正常な通信とDDoS攻撃を振り分けたりしてます.
ただ,DDoS攻撃と思われる通信を検知した時点でDDoS対策機器の方に経路を振り替えて,Proxyを行うので,そのたびにソースIPがDDoS対策機器に変わるのが玉に瑕ではありますが.
今回はどうかわかりませんけど,帯域を食いつぶす系のDDoS攻撃の場合はIPを変えるのはMUSTで,それでも解決しない場合は出ていってもらうのが普通だと思います.昨今のVPSの値段では,まかないきれないぐらいトランジット料金も馬鹿にならないですし.
Re:頭が悪いにも程がある (スコア:2)
ルータでそんな処理をさせると非常に重たいから「普通は」やらないですよ.
ルータがDDoSで死んじゃいましたとか笑い話でしょ?
トラフィックが数十Mbps位ならやれなくは無いかもしれませんが.
大体はルータか途中のスイッチでsFlowをはかせて別の機械で軽減するのが一般的.
こんな感じで:
http://www.idcf.jp/network/ddos/ [www.idcf.jp]
でもそんな事出来るような機械を買うのもお金が馬鹿にならないですし,何よりVPSみたいな
/32単位でIPを払い出すようなサービスはIPセグメント丸ごと対策機器通すような形のになる
DDoS対策機器とか入れづらい.ソースIPが変わったり,微妙に挙動が変わったりするのが
嫌な人とまぜられないから.
Re:頭が悪いにも程がある (スコア:1)
> 契約がどうなってようと、被害者であろうと嫌がらせして追い出すなんて常識あるわけねーだろと言うツッコミなのだが
何がどう嫌がらせと?
格安サービスでIP変えさせるのも最悪ドメインを変えるのも普通の対応でしょう?
もうちょいお金を払ってもらえれば,業者側もやりようはありますけど.
1件あたり数千円しかしないサービスなのに数百~数千万するような機械をホイホイ買えると思うかな.
>常識を疑われて、多数派工作したいのはわかるけどもうちょっと頭を使おうや。な?
>んでなんでそんなに必死なの?
IDでわざわざ書いてるのにそんなことする必要あんの?
それよりACでそんなくだらない妄想を書くほうが必死じゃあないかと.
#なんとなく,スコアが-1なやつにも反応してみる.
Re:頭が悪いにも程がある (スコア:1)
『ルータでは』無理でしょう。そういうもの(機能)を求めた機器ではありませんから。
キャリアルータがL4以上のセッション管理なんてしたら、むしろ害悪です。やるとすれば
専用の帯域制御装置やミティゲーション装置ってことになります。
そんな枝葉末節の話はおいておいて、DCの中では
SYN Floodとは言え、そう勝手に対応は出来ないのは事実です。
ただ、そういう場合でも、まずは顧客と調整して、事業者側が何らかのセキュリティ製品で
対応をとるのが普通で、GMOの対応は異例だと思います。
Re:頭が悪いにも程がある (スコア:1)
メインのドメインを運用したいのであれば、IDSなりDDoSに耐えうる機材・機器(GMOの方曰く数千万円する機材とのこと)を自分で導入して外部で運用したらどうか
GMO曰く数千万する機材じゃないとついてないそうですよ
https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/DDoS_Inspection.pdf [npa.go.jp]
警察庁も推奨してますけど、数千万する機材買えとか警察庁はきちくだなー(棒
Re: (スコア:0)
今回発生した規模をさばけるのだと高額とか?
まずはどの程度の規模だったのか提示してくれないとなぁ
Re:頭が悪いにも程がある (スコア:1)
自己レスだけど、元ネタの人iptablesでSYN flood対策してるみたいなのだがこの対策は役に立たなかったということなのだろうか
http://qiita.com/suin/items/5c4e21fa284497782f71 [qiita.com]
Re:頭が悪いにも程がある (スコア:1)
ソースアドレスがランダマイズされてると、hashlimitだけじゃダメなはず。
しかし、そもそも、synfloodは帯域やルーターのバッファを埋めることが目的とされるので、
サーバーだけじゃどうしようもないでしょう。
Re: (スコア:0)
よく考えてみたら、意外と良心的かもしれない。
金も能力も無い以上、GMOクラウドには打つ手が無いし、他社の良サービスに引っ越してもらうのが、一番ユーザの為を思った行動かもしれない。
だって、わざわざ謙って、「自分とこはSYN Floodに対応出来ない」っていう弱点までさらしながら、馬鹿を演じて愛想つかして引っ越すように促してくれたんでしょ?
他の顧客は、今後この脅威にさらされるけど、このユーザだけは「今のうちに逃げるんだ」って教えて貰った訳だし。
Re: (スコア:0)
国内では少ないんだけど、国外サーバーは固定+転送量課金が多いですよね。
DDOS攻撃でもトラフィックって上がるもんなんですかね…
Re: (スコア:0)
最近だと,DNSだったりNTPだったりのReflection攻撃の方がSYN-flood系の攻撃よりも多かったりします.そのため,帯域を滅茶苦茶消費します.
数Gbpsは結構普通に来るように最近はなりました.
多分お手軽簡単で世界中にReflectionできるサーバが居るからなんでしょうね…….
わざわざSYN-floodを使ってかつIP変えても追っかけてくるってことはピンポイントで狙われる何かがあるんでしょうけどね…….
Re:頭が悪いにも程がある (スコア:1)
ちょっと負担がしんどいんで他にいってくれないかって話なら規模が大きくなれば良くある話。だが、今回のポイントは、GMOがそういうまともな理由を提示しての対応では無く、「お前が不正アクセスさせてるせいだ」とか言い出してるあたりで。
原因は規約のこういう問題に対応するための文言が充分ではなかったという規約の欠陥と、サポートが単純にあーぱーだったからという人的な欠陥が重なった結果ですかね。まぁ、それ以前に会社がアレだからだと思いますが。
DDoS対応が規約になかっただけ? (スコア:0)
単に法務のつくった規約が不適切で現場が無理矢理な説明を二転三転しただけなような。
対処不能な規模のDDoSを受けたら近隣ユーザーへの影響を防ぐためにサービス停止、最悪解約、というのはごく普通な対応と思う。提供側は無限にコストかけろ、っていうのは無茶だし。
記事に攻撃の規模が書かれてないので本当のところはわからないけれど、記事の人みたいに定期的に攻撃されるなら直接DDoSフィルタサービス契約するしか無いんじゃなかろうか?
Re: (スコア:0)
攻撃中のサービスの一時的停止(DDoSパケットの吸い込み)は仕方ないにせよ、解約はありえないかと。
そんなことしたら、攻撃者はターゲットに対し身代金要求しやすくなり、インセンティブが上がって、攻撃が増えてしまいます。
空気読も? (スコア:0)
ドメイン変更して解決する可能性が低い位、GMOの人も分かってますよ。
じゃなくて。サイトが出ていくまでドメイン変更を要求し続けますって事でしょう。
が答えじゃないですか。今までドメイン変えるように要請したサイトは全て変更せずに出ていきました。だからあなたも早く出て行ってください。
という事でしょう。この人もイラついているみたいですが、GMO上司さんも相当イラついていたんじゃないですかね?(笑)
# GMO使ってる時点でどんな非常識な対応も想定しておくべきかなぁ
Re: (スコア:0)
自社都合で相手との契約を切りたいが、契約を切ったことで発生する諸費用を負担したくないと言う様な輩の空気なんぞ読む必要は無い。
GMO上司「はい、そのように対応するルールになっています。」 (スコア:0)
GMOがDDoS喰らわねーかなー(不謹慎)