Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年12月1日
最終更新日:2013年12月26日

WebKnight で IIS への DoS, DDoS 攻撃への対策を行う

WebKnight は WAF(Web Application Framework) ですが、DoS(Denial-of-Service)攻撃や、DDoS(Distributed Denial-of-Service) 攻撃の影響を緩和する機能が備わっています。

WebKnight のインストールや Config.exe の使用方法は以下の記事を参照してください。

リクエストを制限する

同一 IP アドレスからのリクエスト制限

同一 IP アドレスから一定時間に大量のアクセスがある場合は、”Connection” セクションの “Use Connection Requests Limit” にチェックを入れます(デフォルト OFF)。

”Connection Requests Limit Max Count” に、同一 IP アドレスから一定時間に許可するリクエストの最大数を設定します(デフォルト 400)。

“Connection Requests Limit Max Time” には、リクエストをカウントする時間枠を設定します(デフォルト 2 分)。

つまり、デフォルト設定で “Use Connection Requests Limit” にチェックを入れると、同一 IP アドレスから 2 分間に 400 を超えるリクエストがある場合は、リクエストを拒否します。

pic01

特定 URL へのリクエスト制限

特定 URL への一定時間に大量のアクセスがある場合は、”URL Scanning” セクションの “Use URL Request Limit” にチェックを入れます(デフォルト OFF)。但し、この設定をしても、”/” (ルート) は制限されません。

“URL Requests Limit Max Count” に、特定 URL に一定時間に許可するリクエストの最大数を設定します(デフォルト 3000)。

“URL Requests Limit Max Time” には、リクエストをカウントする時間枠を設定します(デフォルト 2 秒)

つまり、デフォルト設定で “Use URL Request Limit” にチェックを入れると、特定 URL に 2 秒間に 3000 を超えるリクエストがある場合は、リクエストを拒否します。

pic02

特定拡張子のファイルへのリクエスト制限

特定拡張子のファイルに対して一定時間に大量のアクセスがある場合は、”Requested File” セクションの “Use Extension Request Limit” にチェックを入れます(デフォルト OFF)。

“Extension Requests Limit Max Count” に、特定拡張子のファイルに対して一定時間に許可するリクエストの最大数を設定します(デフォルト 200)。

“Extension Requests Limit Max Time” には、リクエストをカウントする時間枠を設定します(デフォルト 4 分)。

つまり、デフォルト設定で “Use Extension Request Limit” にチェックを入れると、同一 IP アドレスから、特定拡張子のファイルに 4 分間に 200 を超えるリクエストがある場合は、リクエストを拒否します。

pic08

レスポンスの監視

“Response Monitor” セクションの “Use Block Client Errors” にチェックを入れると(デフォルト ON)、一定時間にクライアントエラーがある場合は、その IP アドレスからのリクエストを拒否します。

“Block HTTP Client Errors Max Count” には、一定時間に許可するエラーの最大数を設定します(デフォルト 100)。

“Block HTTP Client Errors Max Time” には、エラーをカウントする時間枠を設定します(デフォルト 10 分)。

pic03

“Use Block HTTP Server” にチェックを入れると(デフォルト ON)、一定時間にサーバーエラーがある場合は、その IP アドレスからのリクエストを拒否します。

“Block HTTP Server Errors Max Count” には、一定時間に許可するエラーの最大数を設定します(デフォルト 10)。

“Block HTTP Server Errors Max Time” には、エラーをカウントする時間枠を設定します(デフォルト 10 分)。

pic04

攻撃発生時の処理

攻撃は発生した時に以下の設定をすることで、Web サーバーのリソース消費を減らすことができます。

“Incident Response Handling” セクションの “Response Drop Connection” にチェックを入れると(デフォルト ON)、攻撃を検知すると、Keep-Alive の設定がしてあってもコネクションを切断します。

pic05

“Response Redirect” のチェックを OFF (デフォルト OFF) にすると、エラーページへのリダイレクトがなくなるので、Web サーバーへの負荷が減ります。

pic06

"Response Directly" のチェックを OFF (デフォルト ON) にすると、WebKnight のエラー画面を表示しなくなるので、Web サーバーへの負荷が減ります。

pic07

まとめ

WebKnight の導入は DoS, DDoS 攻撃への対策になります。パラメーターの調整は必要でしょうが、無償で DoS, DDoS 攻撃への対策ができるのは大きなメリットだと思います。

DoS, DDoS 攻撃は有名なサイトが狙われやすいですが、自分が管理しているサイトがいつ攻撃を受けるか分からないので、対策方法は知っておいた方がよいでしょう。

参考


スポンサーリンク




カテゴリー:ツール

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA