1月28日にDDoS攻撃を受け、ホームページが表示されなくなりました。
カスタマーサポートからDDoS攻撃を受けていることと、DNSレコード変更したメールが届きました。
3日後にこちらでDNSレコードをもとに戻し、一時ホームエージの表示ができましたが、再び攻撃を受け閲覧できない状況になりました。
再びカスタマーサポートからのメールで、上記に加えDNSレコードの変更不可設定もしましたとのことです。
通算7日ほどホームページが表示できない状況でかなりの損失を追っております。
できるだけ早急に解決したいのですが、解決に向けて皆様のご助言をお願いできればと思います。
WAF設定すべてオン、htaccessの見直し問題なし、index.phpはもちろんせってしてあり、パーミッションも問題なさそうです。
リソースモニターの上ではアクセスはない状況が1日続いています。
現状、サイトにアクセスると403エラーが返ってきております。
その他必要な情報があれば追記いたしますのでお知らせください。
まず、DDoS攻撃というのは、「悪意をもっただれか」が、ユーザーさん(※)のサイトに対して大量のアクセスをぶつけてくる行為です。
※紛らわしいですが、当スレッドの投稿者さんを指しています。
ユーザーさんのサイトがDDoS攻撃の対象にされた結果、サーバー自体の処理能力が限界に達し、ユーザーさんご自身のサイトだけでなく同じサーバーに設定されている他のエックスサーバー契約者のサイトも表示されなくなったために、被害を限定的にしようと、ユーザーさんのサイトのIPアドレスが隔離された、といったいきさつだと思われます。
このようなケースではDDoS攻撃が沈静化したのちにエックスサーバーのカスタマーサポートがDNSレコードを元に戻す(=復旧完了)、といった流れをたどるようですが、完全に鎮静化する前にユーザーさんご自身がDNSレコードを元に戻してしまったために、DNSレコードの再度の強制変更&変更不可状態にされてしまった感じでしょうか(文面からそう判断しましたが、事情が違っていたらすみません)。
こういった場合ですが、できそうなこととしては、「CloudFlareなどのCDNサービスをかませ、そちらのDDoS対策機能を利用する」ぐらいでしょうか。
DNSレコードの変更によりユーザーさんのサイトを隔離した、といった事情から、DDoS攻撃はIPアドレスに対してではなく、ユーザーさんのウェブサイトのドメイン名に対してされているものと思われます。
CloudFlareなどのCDNサービスを契約し、そのドメイン名のアクセス先をCloudFlareに設定することで、そのドメイン名へのアクセスが
CloudFlareにアクセス
↓
CloudFlareにてDDoS対策の何かしらの処理が実行される
↓
CloudFlareから必要に応じてエックスサーバーにアクセス
といった経路に変更されます。
CloudFlare側で何かしらのDDoS対策がされているのであれば、エックスサーバーへのアクセスが激減し、エックスサーバー側の制限が解除される可能性があります。
なお、今回のようなケースでCloudFlareを使うとして、CloudFlareの無料プランでDDoSを防ぎきれるのかはわかりませんし、CDNをかませることでどの程度効果があるのかも、経験がないのでわかりません。
仮に上述の対策をする場合も、「自分にできる対策として、CDNを経由させても大丈夫か。その場合、制限の解除が早まるか」などをカスタマーサポートに確認するほうが良いかもしれません。
> WAF設定すべてオン、htaccessの見直し問題なし、index.phpはもちろんせってしてあり、パーミッションも問題なさそうです。
など書かれてはいますが、「大量のアクセスを送り付けられている状況そのもの」が問題であり、
・WAF設定
→WAF設定の判定処理などが実行される時点で負荷がかかる。サイトの脆弱性を悪用されないためのセキュリティ対策としては重要だが、DDoSを防げるものではない
・.htaccessほかの設定関連
→大量のアクセス自体を防げるものではない(.htaccess等で遮断する処理をしている時点で負荷がかかる)
みたいな感じで、DDoSへの対策としてはおそらくあまり意味がないように思われます。
サイト側の構成を見直し、負荷がかからないようにすることで解決する問題であれば、DNSレコードの強制変更によるサイトの隔離などはされないんじゃないかな、といったメタ的な発想も含めての意見ですが。
CDNをかませた場合も動的ページ(WordPressが出力しているページなど)はキャッシュされないかもしれず、そういった意味ではWordPressなどの動的サイトに対する負荷対策(ページキャッシュの利用など)も有効な場面があるかもしれませんが…。
WAFや.htaccessの設定見直しをされたとのことですが、これらは「サーバーにやってきたアクセスを捌く」ためのものです。
そもそものアクセス自体を遮断するものではないので、あまり意味がありません。
やって来るアクセスが多すぎるということが問題になっているので、アクセス自体を何かしらの方法で遮断する方法が必要です。
なので撮ることのできる対策としては、
・DDoS攻撃が止まるのを待つ
・VindoさんのおっしゃるようにCDNを噛ませる
・エックスサーバーではない他社サービスに移転する
くらいかな、、と思います。
DDoS攻撃はいつやむのかは攻撃してくる側に聞くしかないですし、他社に移転したところで再度DDoSが発生したらまた何かしらの制限を食らうのは避けられません。
サイトの運用を続けたいなら、CDNを検討するのがベターかと思います。