activetk.cfに分速1万回のDDOS攻撃が行われていた事が判明

こんにちは。ActiveTK.です・・なんて言っている暇はありません!

2021年11月29日未明、tokutei.cfに続いてactivetk.cfに対し分速約1万回のDDOS攻撃が行われていた事が判明しました。

攻撃の判明

いつもactivetk.cfをご高覧いただいている、「kyunyubi」さん、「とくめ 和の心」さん、「exc」さんのご三方にコメント欄でご指摘を頂き、攻撃に気が付きました。本当にありがとうございます。

攻撃の詳細

攻撃は日本時間の2021年11月28日22時26分42秒から始まり、同日23時01分16秒までの約34分間(2074秒)行われました。

攻撃速度は、なんと驚異の分速約10533回。

34分間の間に、 122個のIPアドレスによる36万4105回のアクセスを記録しました。

一つのクライアントのアクセス数は1400回から10000万回まで様々です。しかし、全てのアクセスの共通点は「ユーザーエージェントが無い」「プロトコルがHTTP/1.1」などで、犯人は同一のアプリケーションを利用して攻撃を行ったと考えられます。

当該サイトに設置されていたアクセスカウンターは30万を記録。。

※注 アクセスカウンターは同一IPからの連続アクセスを記録していないため、統計アクセス数よりもやや低い数値となっています。

総転送量は7,627MBでした。

犯人

攻撃のちょうど30秒前、こんなHTTPリクエストがありました。

www.activetk.cf 122.134.182.212 - - [28/Nov/2021:22:26:11 +0900] "GET / HTTP/2.0" 200 7652 "https://tokutei.cf/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36"
www.activetk.cf 122.134.182.212 - - [28/Nov/2021:22:26:11 +0900] "GET /top.jpg HTTP/2.0" 200 6679 "https://www.activetk.cf/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36"
code.activetk.cf 122.134.182.212 - - [28/Nov/2021:22:26:11 +0900] "GET /Hatena.min.js HTTP/2.0" 200 7498 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36"
www.activetk.cf 122.134.182.212 - - [28/Nov/2021:22:26:12 +0900] "GET /icon/index_32_32.ico HTTP/2.0" 200 2386 "https://www.activetk.cf/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36"

確信はできませんが、「転送量が少なかった」という点を考えれば犯人の目的は「サービスを妨害したかった」のではなく、「アクセスカウンターを増加させてみたかった」のではないかと考えられます。

しかし、事前のアクセスが無ければアクセスカウンターが配置されている事に気づく事は不可能です。という事は、攻撃の直前のこのアクセスが怪しい・・。(さらに一つ前のアクセスは数十分前です)

また、このIPアドレスから攻撃中に数回、現在のアクセスカウンターの数値を確認するかのように、定期的にHTTPリクエストを受けていた事が分かりました。ますます怪しい・・。

しかも、122.134.182.212 はVPNやTorの出口ではありません。

(https://ipinfo.io/122.134.182.212)

という事で、現段階の推測としては、

  1. 犯人がtokutei.cfへアクセス
  2. 「ホーム」というリンクから https://www.activetk.cf/ へ移動
  3. DDOSツールを実行
  4. 定期的にアクセスカウンターを見に来た
  5. ある程度増えたので、攻撃を終了

という手順で攻撃が行われたと考えています。

今後はさらにアクセスログを解析すると共に、アクセス速度を制限するなどのDDOS対策を講じていく予定です。

最後までご高覧いただき、ありがとうございました。

コメントする

メールアドレスが公開されることはありません。