Connect :
Uptime :
Secondary
6 Days
8 Hour
36 Min.
“ns-lab”のバックボーン設備は自宅サーバ・専用サーバ・VPSを併用しつつ、
拠点間VPNを張って相互接続する構成になっている。
その中でも、一部サーバはインターネットに晒しており攻撃が来るのは日常茶飯事なのだが、
今回は久々にDDoS型のSYNフラッド攻撃が来たのでまとめてみた。
今回、攻撃影響が顕著に出たのは自宅サーバ・専用サーバの2箇所。
上の図は専用サーバ上の仮想サーバ構成だが、自宅サーバも同じ構成でハイパーバイザのみ違う。
仮想サーバらしくFirewall・ロードバランサ・メールサーバの全てが仮想化されており、
ゲスト環境に対してハイパーバイザからリソース制限を少しかけている。
過去に色々なVPSを渡り歩いてきた上、現在もVPSを使って権威DNSを喋ったりしているのだが、
今までは一貫して国内VPSを使っており海外VPSに手は出さなかった。
海外VPSと言うとDigitalOcean・Linode・Vultr辺りを良く聞くのだが、
価格が異様に安かったりサーバスペックが高かったりと各々特色がある。
そんな中でも筆者が今回選んだVultrでは無料でBGPフルルートを受信する事が出来るらしく、
NWを囓った人なら憧れるフルルートを見てみたくなったので試しに契約してみた。
今回契約したのは、CPU:1コア・SSD:55GB・MEM:2GB・NW:2TBの月額10ドルインスタンス。
MEM:1GBインスタンスにするか迷ったのだが、1ヶ月フル契約しても10ドルなのでコレを選んだ。
VultrのBGP接続は上の様にeBGPマルチホップでピアを張る形となる。
フルルートを注入するとなると、プロセスのメモリ使用量が少ないGoBGPを使う事が多いと思うが、
今回はFFRoutingを使ってピアを張れないかテストを実施。
設定が足りないのかフルルートは受信出来ていないが、BGPピアとEstablishedにする事が出来た。
ちなみに、以前はプライベート用の2ByteASを払い出していたみたいだが、
東京リージョンで申し込みしたら4ByteASになっていた。
今回はお試しなので一通り遊んだらインスタンスを潰す予定。
まだ想定通りに動いていないのでコンフィグや分析結果を載せられないが、
ちゃんと動いたらネタとして載せたいと思う。
自宅のネットワークではIPv4・IPv6の両方で接続出来る様にしつつ、
ゲートウェイとコアルータを敢えて分離して検証を行いやすくしている。
IPv4環境はCiscoで固めているがIPv6環境は様々な機種を利用しており、
中でもコアルータとして使っているEdgeRouter-Xはファームウェアバグが多く不安定だった。
平常時のパケット転送は問題無いのだが突然CPU負荷が高騰したり、
検証時にバグを引き当てるとIPv6アドレスがルーティングテーブルに乗らなくなってしまい、
デバッグに時間を要していたので何とかしようと思っていた。
そんな折、AlliedTelesisの業務用ルータが手に入ったので弄ってみた所、
回線監視やPBRなどIPv6コアルータでやりたい事が出来そうだった。
『良いルータが手に入ったのだからこれ幸い』という事で、
自宅IPv6コアルータをAlliedTelesis AT-AR3050Sに入れ替えてみた。
AT-AR3050Sはハーフサイズなので、19インチラックの1Uに2台設置出来る幅となる。
これは100円ショップのSeriaで売っているワイヤー整理棚(小)とピッタリで、
写真の様にハーフサイズ機器を積み重ね出来る
