WAF(Web Application Firewall)を1ヶ月動かしてみました

この記事は約3分で読めます。

こんにちは

2月に導入したWAFをまるっと一ヶ月動かしたらネタにしようと思ってたので、実行します(笑)

3月1日から31日までのログになります。

導入時の記事は以下になります。

→ WAF(Web Application Firewall)を導入しました

WAFって何かと言うと、サイバー攻撃からWebサーバを守る物でして、基本的にはシステムの脆弱性(セキュリティーホール)を使った不正アクセスを防ぐ為の物です。

WAFの場合には、Webサイトを守る物ですが、それ以外にはFirewallを導入しています。

Firewallではポート遮断の他にも、あまりにしつこいアクセス元からの通信を遮断しています。

また、サーバへの管理機機能などの一部の機能(通信ポート)へのアクセスは一部または、国内のみに制限してたりします。。。それ以外にもいろいろと。。

と言う感じです。

 

WAFを入れたので、どんな傾向が有るのか見てみました。

1ヶ月間の不正アクセスを検出した件数は2,598件でした。多いのか。。少ないのか。。

個人情報は極力取得しないようにしているので、攻撃しても仕方ない気がしますが。。

目的が攻撃可能なサーバの調査なのかもしれませんね。。

日単位のグラフは。。あまり参考にならないかな。。

時間は2時と14時が多いです、これは4月も同じ傾向があります。1日2回チェックしているのかも知れませんが。。毎日チェックしても仕方ない気がしますが。。。(^^;

また、検出した攻撃の種類はSQLインジェクションが83%と飛び抜けて多いです。

SQLインジェクションと言うと、データベースからデータを抜き出すか、データベースの自体を破壊する事ができるかなと思います。脆弱性がないと、そもそも無理なんですけどね。

脆弱性を発見できれば、そのアプリケーションでアクセスできるデータベース上のデータを割と抜き放題できます。個人情報や企業情報の取得が目的。。なんでしょうか。。

攻撃者の気持ちが分からないので、目的がいまいち。。と言うか様々なんでしょうけど。。

全部書いても。。と思うので端折ります。有名所の脆弱性が並んでますね。。WAFの性格上当たり前なんですけど。

それ以外には以下の様なのが出力されてました。

上のの詳細です。

攻撃元のIPアドレス。

上の2つは、ベリーズって国の様ですが。。聞いたこと無かったです、中央アメリカで、メキシコの南側の国でした。3番目はルーマニア、4番目はフランスと続きます。

昔は、中国、ロシア、パキスタン当たりの独壇場だった気がしますが、最近はそうでも無いみたいです。

とは言っても、多分。。ですが、この手の攻撃で踏み台にされてるサーバなんでしょう。。と思います。

真面目に契約してサーバを借りて攻撃してるとは思い難いですし。。

後は、日毎、時間帯のグラフを数字で出ている情報だけです。

見てると割と面白いです。

 

コメント