DCHP problem on VPN Gate Server

Post your questions about VPN Gate Academic Experiment Service here. Please answer questions if you can afford.
Post Reply
SKROU
Posts: 1
Joined: Sun Feb 07, 2021 5:04 pm

DCHP problem on VPN Gate Server

Post by SKROU » Sun Feb 07, 2021 6:05 pm

英語に自信がないため日本語での投稿をお許しください。
当方楽しくサーバー運営をしている高校生です。サーバーに使用しているコンピューターの通信状況をタスクマネージャーで確認していたところ、不自然にサーバーからのアップロードの通信量が多いことに気づきました。通常VPNサーバーとして稼働していれば、クライアントのインターネットへの通信を中継するのでアップロードとダウンロードの通信量は等しくなるはずです。しかしダウンロードの2倍から3倍のアップロードが発生していたのです。サーバー以外の用途には使用していないので、他のソフトウェアによる影響も考えにくいです。実際、各セッションの通信量を見てみると、大量のブロードキャストがサーバーからクライアントに送信されていることがわかりました。そこで自分でサーバーにアクセスしてWiresharkでパケットキャプチャしてみたところ、大量のDHCP offerがありました。それらはほとんどが同じclient IP addressで異なるclient MAC addressのDHCP offerでした。大量のDHCP offerがブロードキャストされることで、回線帯域が圧迫され、VPNサーバーとしての機能が損なわれています。仕様上モニタリングモードで接続できないのであくまで予想にすぎませんが、観察していると、どうやらセッション確立後様々なMACアドレスを記述したDCHP discoveryを大量に送信し、DHIP offerをブロードキャストさせて、すぐにセッションを切断しているクライアントがいるようです。DHCP offerに記述されたMACアドレスを持っているセッションを確認すると、MACテーブルにそのセッションのMACアドレスが大量に登録されていました。また、その接続元IPアドレスのWHOIS情報を確認するとオランダ、ミャンマーなど不自然なほど様々な国からアクセスされていますが、これはTorなどによる匿名化の結果なのではないでしょうか?私はサービス妨害を狙ったある種のDos攻撃なのではないかと思っているのですが、VPN Gateの設定は変更できず、モニタリングすることもできないのでこれ以上対策が取れない状況でいます。

以下気休め程度ですがgoogle翻訳を載せておきます。

Translation by Google translation:
When I was checking the communication status of the computer used for the server with the task manager, I noticed that the amount of upload communication from the server was unnaturally large. Normally, if it is operating as a VPN server, it relays the client's communication to the Internet, so the upload and download traffic should be equal. However, there were two to three times as many uploads as downloads. Since it is not used for purposes other than servers, it is unlikely that it will be affected by other software. In fact, looking at the traffic for each session, we found that a large amount of broadcasts were being sent from the server to the client. So when I accessed the server myself and tried to capture packets with Wireshark, there were a lot of DHCP offers. They were mostly DHCP offers with the same client IP address but different client MAC addresses. Broadcasting a large number of DHCP offers puts pressure on the line bandwidth and impairs the function as a VPN server. Since it is not possible to connect in monitoring mode due to the specifications, it is only an expectation, but when observing, it seems that after the session is established, a large amount of DCHP discovery describing various MAC addresses is sent, a DHIP offer is broadcast, and the session is immediate. There seems to be a client that is disconnected. When I checked the session that had the MAC address described in the DHCP offer, a large number of MAC addresses of that session were registered in the MAC table. Also, if you check the WHOIS information of the connection source IP address, it is accessed from various countries such as the Netherlands and Myanmar, which is unnatural. Isn't this the result of anonymization by Tor etc.? I suspect that it is a kind of Dos attack aimed at denial of service, but since the VPN Gate settings cannot be changed and cannot be monitored, no further countermeasures can be taken.

Post Reply