DoS/DDoS監視機能は設定に従って、一定時間の間に同一IPからしいき値を超える接続があった場合、またはサーバー全体で同時接続数がしきい値を超えた場合に管理者へ警告メールを送る機能です。
基本設定
指定時間で指定された分数の間に、しきい値を超えた場合に警告または収束メールを送信します。
同一IPから指定時間の間に指定された回数接続があった場合に警告メールを送信します。
10分が指定されていた場合、最初の接続から 5分後に再度接続があるとカウントが増えた上に、接続時間がリセットされ、監視が 10分延長されます。
従って、10分以内に接続を繰り返すような場合は、カウントが上昇し続けますので、必要に応じて監視除外IPに登録を行って下さい。
特に POP3 などでクライアントを立ち上げたまま、10分以内に 1回メールを確認するようなケースも該当しますのでご注意下さい。
サーバー全体で指定時間の間に指定された数だけ接続があった場合に警告メールを送信します。
指定時間に 10分が指定されており、接続IPに 200 が指定されている場合、10分以内にサーバーへ接続された IP が 200を超えると警告メールが送信されます。
原則としてサーバーに正規のユーザーが同時に接続する数以上を指定する必要があります。
以下で指定した場合、警告メールが大量に発信される可能性があります。
また本指定はその性質上、その時点で接続があった全てのリストがメールに記載されます。
接続回数と違って接続IPは超える度に警告メールが発信されます。
接続IP数を 200 にして同時接続数が 500 あった場合、300回警告メールが発信される為、送信間隔を指定します。
送信間隔内にあった接続は次の警告メールに記載されます。
接続はあったが、指定した時間内に接続が無くなったメールを報告します。 ただし、1回しか接続が無かったケースで逐一収束メールが発信されると大量に収束メールが発信される為、指定回数以上接続があった物のみメールに記載され、それ以外は記載されません。(記載するリストが無い場合は、収束メールは発信されません。)
指定したローカルアカウントのメールボックスに警告メールを直接保存します。
通常はこちらを指定して下さい。
尚、該当アカウントでフォワードや転送等の設定が行われていてもそれは無効になります。
利用は推奨しません。
警告メールを外部に送信する場合に利用します。
本当に DoS / DDoS 攻撃を受けている場合、ネットワークが正常に動作できない可能性があります。
その為、外部に発信を行おうとしても、その処理は正常に行われず、警告が届かない可能性がある為です。
またローカルアドレスの指定は行わないで下さい。正しく配信が行われない可能性があります。
警告メールを複数に送ろうとしてローカルアカウントに送信をして、そこからフォワードをさせようと思われる方もいらっしゃるかと思いますが、それは想定していません。
本気で DoS / DDoS 攻撃を受けている場合は、そんな余裕はありませんので。
PMailServer2 本体で検知した同一IPからの接続をログに出力します。
数値が指定されるいる場合は、接続回数がしきい値を超えた場合にのみ出力されます。
0 が指定されると全ての接続がログに出力されます。
自動ブロック
指定された攻撃回数を超えた場合に、該当するブロックを指定したフィルタに追加、または管理者に通知を行います。監視除外IP
管理から除外する IP アドレスを指定します。注意事項
本機能のIPアドレスの計測は全てのプロトコルで共通に扱われます。
192.168.1.2 から SMTP と POP3 に指定時間内に1回づつ接続があれば、それは2としてカウントされます。
本機能は検知するのみでブロック処理は行われません。
DoS / DDoS 攻撃は正規の接続と区別が付きません。特に DDoS攻撃は接続数が大量にあるだけで、パケットの総量が多いが1接続毎のパケットは大きくないケースもある為、区別することが困難です。
その為、自動でブロックを行うと正規のアクセスもブロックしてしまう可能性がありますので、自動化は現時点では行う予定はありません。
必要以上に機能を追加する予定はありません。監視に限定して最小の機能を実装してあります。これは DoS / DDoS 攻撃がサービス拒否(サーバーをパンク)させることを目的としている為、必要以上に機能を追加して、更に負荷を上げない為です。