Home
运维
DNSセキュリティツール自作記：PythonでDDoS監視・検知システムを構築してみた

DNSセキュリティツール自作記：PythonでDDoS監視・検知システムを構築してみた

3月 18, 202516 mins read

0250319001041DNSセキュリティツール自作記：PythonでDDoS監視・検知システムを構築してみた

皆さんこんにちは！ネットワークセキュリティに興味があるエンジニアの[仮名]です。最近、DNSサーバーへのDDoS攻撃が増えているって聞いて、自分でも何か対策できないかと思い立ちました。今回はPythonを使って簡易的な監視ツールを作ってみたので、その過程と結果をシェアします。

きっかけは「異常なDNSクエリ」の疑念

先週、運用中のWebサービスが突然重くなったんですよね。アクセスログを見ると、特定のIPアドレスから大量のDNSクエリが飛んでいる様子。まさかと思ったけど、DDoS攻撃を受けてる？って焦りました。

でも、市販のセキュリティツールを導入する予算もないし、自分で何かできないかと模索。Pythonならサクッとスクリプト書けるし、ネットワーク監視に使えるライブラリも多いんじゃないか？と思い、試しに作り始めました。

作ったもの：DNSクエリモニター with 異常検知

概要

目的：DNSサーバーへのリクエストをリアルタイム監視し、DDoS攻撃の兆候を検知
仕組み：
1. DNSクエリをキャプチャする（Scapy使用）
2. クエリ元IP/ドメイン/タイミングを分析
3. 異常パターン（急激なリクエスト増加、不自然なドメインパターン）を検知

コードのポイント（抜粋）

python复制代码from scapy.all import *from collections import defaultdict # DNSクエリをスニッフィングdef dns_monitor(packet):  if packet.haslayer(DNSQR):    query = packet[DNSQR].qname.decode()    src_ip = packet[IP].src    # 統計情報更新    stats[src_ip]['count'] += 1    stats[src_ip]['queries'].append(query)    # リアルタイムチェック    if check_ddos_pattern(src_ip):      print(f"[ALERT] Possible DDoS from {src_ip}!") # 異常検知ロジック（簡易版）def check_ddos_pattern(ip):  threshold = 100 # 1秒間のリクエスト数閾値  time_window = 1 # 監視ウィンドウ（秒）    current_time = time.time()  # 直近time_window秒のリクエスト数チェック  recent_requests = [    req for req in stats[ip]['timestamps']    if current_time - req < time_window  ]  return len(recent_requests) > threshold # 監視開始sniff(filter="udp port 53", prn=dns_monitor, store=0)