ConoHa事変 その2(2021/10/08) [仮想化]
本気でデフォルトルータ(≒通信)を乗っ取るなら、NAT噛ましてでも通信が外部に出られるよう(バレないよう)にするべきで、通信断が起きて第三者(私)に発覚している時点で、ド素人もしくは故意ではない過失のような気もしますが、手段は間違いなくarpスプーフィングです。
攻撃はともかく、ライフラインになっているうちのメールサーバが機能停止するのはどうしても避けたかったので、OpenBSDにスタティックarpを設定して、デフォルトルータのIPアドレスとCISCO HSRPv2の仮想MACアドレスを紐付けました。これでarp汚染は回避できます。
攻撃の余波なのか、/etc/mygateからIPv4のデフォルトルータが消失していたので、復活させました。www.yahoo.comにIPv4でpingを飛ばし、疎通に問題ないことを確認しました。
sshで接続できるようになり、VPSの管理コンソールからssh接続へバトンタッチです。しばらくは怖かったので、3秒程度の間隔を空け、www.yahoo.comに定期的にpingを打ち続けました。ping断が起きたり、RTTが大きく揺らいだりすると要注意です。
ついでにOpenBSD上でarpスプーフィング対策できるソフトウェアを探してみたのですが、特にないようです。検知できるarpwatchというものがあるようですが、OpenBSDの標準機能で実現できていますし、二重で動かす必要はありません。
そういった点ではOpenBSDに助けられました。OpenBSDで良かったと思います。
とりあえずここでConoHaサポート窓口に一報を入れました。悪意ある攻撃とは断定しきれなかったので、多少のログを提示し、ネットワーク上におかしい挙動をしているノードがいるのでチェックしてくれないか、そんな感じの柔らかめの一報です。
その3へ続く。
攻撃はともかく、ライフラインになっているうちのメールサーバが機能停止するのはどうしても避けたかったので、OpenBSDにスタティックarpを設定して、デフォルトルータのIPアドレスとCISCO HSRPv2の仮想MACアドレスを紐付けました。これでarp汚染は回避できます。
攻撃の余波なのか、/etc/mygateからIPv4のデフォルトルータが消失していたので、復活させました。www.yahoo.comにIPv4でpingを飛ばし、疎通に問題ないことを確認しました。
sshで接続できるようになり、VPSの管理コンソールからssh接続へバトンタッチです。しばらくは怖かったので、3秒程度の間隔を空け、www.yahoo.comに定期的にpingを打ち続けました。ping断が起きたり、RTTが大きく揺らいだりすると要注意です。
ついでにOpenBSD上でarpスプーフィング対策できるソフトウェアを探してみたのですが、特にないようです。検知できるarpwatchというものがあるようですが、OpenBSDの標準機能で実現できていますし、二重で動かす必要はありません。
そういった点ではOpenBSDに助けられました。OpenBSDで良かったと思います。
とりあえずここでConoHaサポート窓口に一報を入れました。悪意ある攻撃とは断定しきれなかったので、多少のログを提示し、ネットワーク上におかしい挙動をしているノードがいるのでチェックしてくれないか、そんな感じの柔らかめの一報です。
その3へ続く。
タグ:conoha
コメント 0