Web技術 けんけん

突然サイトが502 Bad Gatewayに!Amazon EC2で特定のIPアドレスからのアクセスをブロックする方法

どうも、けんけんです。
ここ最近、サイトのデザインリニューアルを細々と進めているところなのですが、つい先程、サイト運営に使っている「Amazon EC2」で「502 Bad Gateway」が発生しました。
どうにか問題を解決できたので、今後の備忘録も含めまとめておこうと思います。

スポンサードリンク

突然、「502 Bad Gateway」発生

サイトを巡回中、突然個別ページにて「502 Bad Gateway」が発生しました。
最初は個別ページだけかと思いましたが、トップページでも同じことが発生し、スマートフォンで見た際にも同様だったため、サーバーに何かが起きたな、と思いました。
すぐに「EC2 502 Bad Gateway」で検索をかけ、参考記事を調べました。

原因は海外からのDos攻撃だった

以下の記事を参考にEC2のサーバーを調査。
参考:またもこのブログ(word press)で「bad gateway 502エラー」がでました。

サーバー内のログを確認

EC2のサーバーにコンソールからログインし、

ll /var/log/nginx

でログファイルを確認します。
「error.log」なるファイル名があったので、中身を確認してみました。

特定のIPアドレスからの短時間での大量アクセスを確認

ところどころ省略をしていますが、これでもほんの一部です。
本日20:48〜20:49の間に347回のアクセスがありました。
IPアドレス部分を抜き出したところ、

185.188.204.9
185.188.204.22
185.188.204.12
185.188.204.7
185.188.204.11
185.188.204.6
185.188.204.10
185.188.204.20
185.188.204.16
185.188.204.14
185.188.204.8
185.188.204.15
185.188.204.25
185.188.204.27
185.188.204.18
185.188.204.21

すべて、「185.188.204.○○」というIPアドレスからのアクセス。
そりゃ、サーバーも落ちますよね。

念のため、アクセス元を調べてみた

念のため、以下のようなIPアドレスの逆引きサイトを使ってアクセス元を調べてみました。
参考:IPひろば

海外からのアクセスでした。

iptablesを使って特定IPアドレスからのアクセスをブロック

ここで手に入れたIPアドレスからのアクセスをブロックします。
以下サイトによると、iptablesというものを使えばできるらしい。
参考:Amazon EC2でDoS/DDoS攻撃をブロックする – iptables –


sudo iptables -t filter -I INPUT -p tcp -s 【ブロックしたいIPアドレス】 --dport 80 -j DROP

といったコマンドでブロックできるみたいです。

iptablesの設定確認

設定後の、iptablesの状態は、


sudo /etc/init.d/iptables status

で確認することができます。

Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  185.188.204.27       0.0.0.0/0            tcp dpt:80
2    DROP       tcp  --  185.188.204.25       0.0.0.0/0            tcp dpt:80
3    DROP       tcp  --  185.188.204.15       0.0.0.0/0            tcp dpt:80
4    DROP       tcp  --  185.188.204.8        0.0.0.0/0            tcp dpt:80
5    DROP       tcp  --  185.188.204.14       0.0.0.0/0            tcp dpt:80
6    DROP       tcp  --  185.188.204.16       0.0.0.0/0            tcp dpt:80
7    DROP       tcp  --  185.188.204.20       0.0.0.0/0            tcp dpt:80
8    DROP       tcp  --  185.188.204.10       0.0.0.0/0            tcp dpt:80
9    DROP       tcp  --  185.188.204.6        0.0.0.0/0            tcp dpt:80
10   DROP       tcp  --  185.188.204.11       0.0.0.0/0            tcp dpt:80
11   DROP       tcp  --  185.188.204.7        0.0.0.0/0            tcp dpt:80
12   DROP       tcp  --  185.188.204.12       0.0.0.0/0            tcp dpt:80
13   DROP       tcp  --  185.188.204.22       0.0.0.0/0            tcp dpt:80
14   DROP       tcp  --  185.188.204.9        0.0.0.0/0            tcp dpt:80

先程のIPアドレスがブロックの対象に入っていますね。

さいごに

コマンドを実行してから先程お見せしたエラーログは発生しなくなり、サイトにも今まで通りアクセスできるようになりました。
焦りましたが、短時間で復活させることができ、ほっとしています。早く気付けて良かったです。
それにしても大量アクセスでサービスを停止させようとするとは許せませんね。
今後も同様のことがあったら同じ方法で対処しようと思います。
皆様もお気をつけくださいませ。
以上、けんけんでした。

ABOUTこの記事をかいた人

東京・台湾を行き来し、ホームページ制作、デザインの仕事をしながらこのブログを書いているブロガー。 このブログではモノを中心に、ガジェットやWEBサービス、旅、ランニングなど新しいライフスタイルを提案することを目指しています。

NEW POSTこのライターの最新記事