最近、SQLインジェクション攻撃が急増しています。
特に今回はIIS(InternetInformationServices)+ASP(ActiveServerPages)を狙っているものらしいのですが、実際のところ、ASP.NET(拡張子ASPX)を運用しているサイトにもわけ隔てなく訪れているようです。
さて、現在ですが、マイクロソフト製のフィルタリングISAPIモジュール「URLScan」を使用しています。フィルタ条件が純正品にしては結構豊富なので、わりと使えるというのが現在のところの意見です。
全クエリを見ていることになるので、リソースを消費するのだろうなあ、と思っていたのですが、実際にはPentium4 + 4GBメモリのシステムで１日に90万件程度のアタックですが、通常処理を含めてもCPU利用率平均では20%程度に収まっています。
とはいえ、これは対症療法のようなものですし、フィルタリングをすり抜けているアタックも確実にあるはずですので正確な数値ではないと思っていただいた方がいいと思います。

そしてログを解析しているとわかったことがいくつかあります。

• 複数の国・地域から攻撃が来ている（特に韓国が多い）
• もちろん日本国内からもある
• 周期的に同一IPから攻撃がある（Botで多数のサイトを巡回攻撃している？）
• 攻撃クエリは数種類に分けられる

かなりのホストから攻撃が来ていますが、定期的にIPブラックリストを作成していけば、なんとかなるのではないか？というレベルでもありますし、少なくともURLScanでフィルタを行うことは、それだけCPUを使うということですので、接続時に弾いてしまった方が効率的でしょう。

と、前日・本日のログを元にIPリストを作ってみたところ、192IPでした。

これをNetShで弾くように設定して、どれだけアタック数が減少するか・・・楽しみです。