この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

DDoS攻撃の分類と対策

2011/07/21


 企業システムのセキュリティを脅かす攻撃にどう対策するべきかをコンパクトに解説する「セキュリティ強化塾」。今回のテーマは「DDoS(分散型サービス不能)攻撃」だ。狙った組織のWebサーバやネットワークに大きな負荷をかけて、通常の通信を行えないようにするのが「DoS(サービス不能)攻撃」。このDoS攻撃をたくさんのPCを用いて一斉に行うのが「DDoS攻撃」だ。どんな手口があるのか、どんな被害が考えられるのか、そしてその対策は?記事末尾には関連知識を試す「理解度チェック」問題(情報セキュリティスペシャリスト試験対応)も用意しているので是非挑戦していただきたい。

DDoS攻撃

「金を払わないと攻撃するぞ!」 脅迫にも使われるDDoS攻撃

 DDoS攻撃とは、たくさんの端末から特定のサーバに対して意味のない通信を大量に行って、サーバの処理能力やネットワーク容量を使い尽くしてしまう攻撃のことだ。攻撃者はまずは準備段階として、多数のPCをウイルスに感染させてDDoS機能をもつモジュールを埋め込む。そのモジュールは、攻撃者の指令を待って攻撃を行うボットである場合もあれば、指令にかかわりなく規定された期日に攻撃を開始するプログラムであることもある。攻撃トリガーが引かれれば、モジュールを埋め込まれたPCは一斉に特定のサーバにDoS攻撃を仕掛ける。これがDDoS攻撃に共通する手口だ。

図1 DDoS攻撃の準備段階(左)と攻撃段階(右)のイメージ
図1 DDoS攻撃の準備段階(左)と攻撃段階(右)のイメージ
資料提供:IPA

 近ごろでは、ソニーや任天堂などゲームサイト、あるいはアメリカ、ブラジル、ベトナムなどの政府機関のWebサイトを狙ったDDoS攻撃の報道が相次いでおり、ニュースによってDDoS攻撃という言葉を知った方もおられるだろう。しかし一般に報道はされないものの、比較的規模の小さいDDoS攻撃は以前から国内でも頻繁に行われていて、中には「お金を払わないとDDoS攻撃するぞ」と脅迫される事件まで起きている。


1

DDoS攻撃の脅威とは?

 インターネットに公開しているサービスが、急にレスポンス低下、ついにはまるで利用できないほどの状態になってしまう。自社Webサイトにアクセスが集中する特別な理由がないのに突然そんなことが起きたら、DDoS攻撃を疑ってみよう。

1-1

国内セキュリティ業界の「伝説」になった大規模DDoS攻撃

 DDoS攻撃の基本的な手口は古くからあまり変わっていない。日本で大規模なDDoS攻撃が公表された事例として、ここでは2004年のACCS(ソフトウェア著作権協会)のWebサーバへの攻撃の手口と対策を紹介しよう。これは現在の日本のキャリアやISP、セキュリティベンダなどのDDoS攻撃対策を作り上げる基礎になったといわれる伝説的な攻撃だ。

■たくさんのウイルス感染PCによる複数の手口での攻撃

 2004年に始まった攻撃には、Winnyを使った情報暴露で有名なウイルス「Antinny」のいくつかの亜種が使われた。これらの亜種は一斉にACCSのホームページにDoS攻撃を仕掛けるように作られていた。それぞれの亜種に仕込まれていたのは、次のようなDoS機能だった(各攻撃の手口は後述)。

SYN Flood攻撃

Connection Flood攻撃

HTTP GET Flood/HTTP POST Flood攻撃

 これらの複数の攻撃が、まったく異なるIPアドレスのPCからACCSのWebサーバに殺到した。攻撃は同年3月に始まり、毎月1日と第1月曜日、月と日の数字が一致する日(3月3日や4月4日など)に集中して行われた。ウイルスがこうした日付に一斉攻撃するように作られていたのだ。
 攻撃はときには1秒間に約5000回を数えたこともあった。観測された最大のトラフィックは700Mbpsにも及んだ。この攻撃により、ACCSのWebサーバは3月から11月までの間に合計約70日のサーバ停止を余儀なくされた。そのうえ、対策の過程で従来のURL(http://www.accsjp.or.jp)での運用を諦め、新しいURL(http://www2.accsjp.or.jp)での運用に切り替えざるを得なくなった。

■キャリア、ISP、セキュリティ専門機関の総力を挙げた対策

 DoS攻撃対策として真っ先に行うことはファイアウォールで攻撃元のIPアドレスをブロックすることだが、DDoS攻撃では攻撃元が多すぎ、しかも正当な通信と区別するのが難しいため、攻撃元をすべて特定することは事実上できない。そこでACCSではサーバのホスト名を変更する対策をとった。しかし、ホスト名変更には一定のルールがある。攻撃者はルールに従って変更されたあとのホスト名を推測し、それも含めて攻撃してきたため、効果は限定的だった。
 また、ISPのDNSサーバから当該サーバの名前を削除してもらう処置もとった。しかし、それは別のDNSサーバに名前解決のトラフィックを差し向ける結果になり、他のISPなど広い範囲に異常な負荷がかかることになった。インターネットから当該サーバがなくなっても攻撃は自動的に行われるので、その影響はインターネットの別の場所に波及してしまうのだ。
 この事態に危機感を覚えたISP、キャリア、セキュリティ専門機関などは、コストを度外視してもACCSに協力し、対策をとることにした。
 セキュリティ専門機関は、攻撃パケットを集中させてすべて廃棄するためのサーバを設置し、ACCSのサーバへの通信に対してISPのDNSサーバがパケット廃棄のために設けた対策用サーバへのIPアドレス(ブラックホールIPアドレス)を返すようにした。複数のISPがそれぞれの網内でフィルタリングを行って、過度に負荷が増大しないようにする協力体制も敷いた。
 また、このブラックホールIPアドレスに集中させた攻撃パケットから、攻撃元のIPアドレスを収集・分析してISPに渡す仕組みも作り込まれた。ISPではIPアドレス使用者の調査を行い、使用者に対してウイルス感染の注意喚起・対策実施をメールなどで呼びかけた。
 ウイルス対策ツールベンダでは、Antinny対策のツールと専用サイトを作成し、感染PCを簡単に駆除できるようにした。さらにはその対策の利用状況をISPに伝え、ISP側からユーザに向けて対策完了の連絡や再感染防止の実施をお願いする仕組みができ上がった。
 このような業界を挙げての取り組みにより、Antinnyの感染PCは次第に数を減らし、DDoS攻撃はやがて減少していった。しかし完全にゼロにすることは現在に至るもできておらず、特定の日に数十Mbps程度の攻撃は発生しているという。

セキュリティ情報局にご登録頂いた方限定で「DDoS攻撃の分類と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


DDoS攻撃/DDoS攻撃の分類と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「DDoS攻撃」関連情報をランダムに表示しています。

DDoS攻撃」関連の製品

Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】 WAF/DDoS対策サービス TrustShelter/WAF 【NTTソフトウェア】 Akamai Intelligent Platform 【アカマイ・テクノロジーズ】
ADC/ロードバランサ WAF CDN
トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品 簡単かつ低コストに、Webサイトセキュリティを強化できる、WAF/DDoS対策サービス。クラウド型WAFなら運用も導入企業側で行わずにすむ。オンプレミス型WAFの提供も可能。 ウェブコンテンツ、エンタープライズアプリケーション、動画の配信を高速かつ安全に行えるようにするクラウドベースプラットフォーム。

DDoS攻撃」関連の特集


パターンマッチングでは防げない最新型の脅威にどう対抗すればよいのか。検出率にみるアンチウイルスの比較…



 銀行や政府関係機関がハッキングの被害にあった…など頻繁にメディアを騒がせており、サイバー攻撃が日常…



突発的なアクセス急増で悲鳴を上げるサーバに、あなたは何をしてあげられる?サーバ負荷を軽減するための具…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004296


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ