ヘルプ

■Linux

<iptables遮断>
iptablesでソースIPアドレスをdropします。

<Modsecurity遮断>
HTTPステータス403をレスポンスします。

■Windows

WindowsファイアウォールでソースIPアドレスをdropします。

iptables追加処理は、エージェントのスクリプト内のコマンド文を実行する形式で行われます。

遮断命令（解除）は以下のログファイルに出力されます。

■Linux の場合

/var/ossec/logs/ossec.log 
/var/ossec/logs/active-responses.log

■Windows の場合

C:\Program Files (x86)\ossec-agent\ossec.log 
C:\Program Files (x86)\ossec-agent\active-response\active-response.log

【例】遮断命令 
Sat Mar 29 17:59:00 JST 2014 /var/ossec/active-response/bin/firewall-drop.sh add -xxx.xxx.xxx.xxx1396083541.143152858 5720
※2014年3月29日 17:59:00 に、xxx.xxx.xxx.xxx の防御ルールを追加

【例】解除命令
Sat Mar 29 18:09:31 JST 2014 /var/ossec/active-response/bin/firewall-drop.sh delete - xxx.xxx.xxx.xxx 1396083541.143152858 5720
※2014年3月29日 18:09:31 に、xxx.xxx.xxx.xxx の防御ルールを削除

攻撃の判断は「ログ内の文字列」と「しきい値（特定条件のログを○○秒に○○回検知）」で行います。

サーバ負荷やネットワーク負荷がない場合、検知から遮断まではリアルタイム（ミリ秒単位）で実施します。
※アクセス状況や通信速度で誤差が発生します

遮断時間は約10分間です。

iptablesに追加された攻撃元IPアドレスは、エージェントの一時ファイルに保存されます。
エージェントは定期処理で、firewall-drop.shを起動しています。
その際、一時ファイルに残存している追加IPアドレスの情報が一定時間以上経過している場合、iptablesから対象IPアドレスを削除します。

エージェントはiptables設定のバックアップを行いません。

iptablesの編集は通常通り実施して問題ありません。
攻撃遮断くんが追加したIPアドレスのDropルールは自動で削除されるため手動削除はしないよう注意してください。

ブラックリストのような恒久的な遮断には対応していません。
お客様環境のファイアウォール等で対応してください。

遮断対象のIPアドレスからは、WEBページが閲覧できなくなります。

遮断中はHTTP要求に対するレスポンスがない状態となり、WEBブラウザがタイムアウトと判断してエラーを表示します。

Internet Explorerの表示例：「このページは表示できません」

【2020年12月17日 周知】

遮断までにタイムラグが発生する事象のご報告：https://shadan-kun.com/ja/system_notifications/326

当該発生条件に該当する場合は、「iptables遮断方式への遮断方式の変更」を実施してください。

firewalld遮断からiptables遮断への変更手順：
https://docs.shadan-kun.com/manual/202012-firewalld-migrate-to-iptables.pdf