この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

特効薬あります!最新DDoS攻撃と対策

2014/11/18


 組織のサーバーやネットワークに膨大な数のアクセスを行い、過負荷によるダウンやサービス停止・停滞を引き起こす攻撃がDDoS(分散型サービス不能攻撃)。この攻撃の特徴は、最新手法で実行すればたいてい成功することだ。攻撃量が大きければ目的を達し、少なければ無駄にネットワーク資源を使うだけに終わる。ターゲットとなるシステム側では実効性がある予防策がなかなかとれず、攻撃が止むのを待つしかないのが実情。しかしDDoS攻撃をできるだけ抑えこむ方法はいくつかあり、またたとえ標的にされてもサービスを維持できるソリューションも出てきている。今回は、最近のDDoS攻撃の方法を紹介し、それに対抗できる方法について考えてみよう。

DDoS攻撃

国内初のDDoS犯人摘発例は高校1年生! 有名オンラインゲームが標的に

 今年9月、国内で初めてDDoS攻撃の容疑者が摘発され「電子計算機損壊等業務妨害容疑」で書類送検された。容疑者は熊本市の高校1年生。オンラインゲームでアカウントが凍結されたことに不満をもち、腹いせに海外の攻撃代行サービスを利用して、国内外の設定に不備があるサーバーを踏み台に使い、3月に2日間にわたり33回の攻撃を行ったという。その結果ゲーム会社のサーバーには通常の20倍以上の負荷がかかり、10時間にわたってサーバーが停止した。
 この事件で使われた攻撃手法は、近年多発している「NTPリフレクション攻撃」(図1参照)だった。この攻撃は、世界各地で多数運用されているNTPサーバと呼ばれる時刻情報提供用のサーバーに、発信元を標的のサーバーに偽装した問い合わせを短時間に大量に行うものだ。NTPサーバのほうでは問い合わせへの回答を、偽装された発信元に返すので、標的サーバーが過負荷状態になってしまう。時刻問い合わせや回答はごく小さなデータサイズなのだが、NTPサーバには最大600件の接続履歴(monlist)を返す機能があるため、巧みに悪用すると攻撃パケットの200〜1000倍以上のデータ量を送りつけることができる。踏み台にできるNTPサーバが多数あれば、ごくわずかな労力で多大な負荷をかけることができるわけだ。この事件の攻撃法詳細は定かでないが、利用されたNTPサーバは国内外延べ約1100ヵ所に及んだと報道されている。

図1 NTPリフレクション攻撃のイメージ
図1 NTPリフレクション攻撃のイメージ

 同様の手口と見られるDDoS攻撃は近年世界的に増加しており、昨年はスパムメール対策組織に対して300Gbpsものトラフィックを発生させて業務妨害する事例が発生、今年春にはヨーロッパで400Gbpsの攻撃例も報告された。日本では冒頭の事件後も有名オンラインゲームが9日間にわたってサービスを停止する事件などが報道されている。かつては「ハクティビズム」と呼ばれる思想的な動機による集団的な示威行為としてDDoS攻撃が実行されるケースや、国際問題に関連する抗議行動の一環として行われるケースが多かったが、現在は特別な知識や組織的な賛同・協力者がなくても、海外のアンダーグラウンド業者にお金を払えば、簡単に特定サービスを狙い撃ちできるようになってきた。しかも攻撃パケットそのものからは犯人が特定できないので、調査には時間と手間がかかり、身元を隠した攻撃が成立しやすいのも問題だ。
 またDDoS攻撃の手口はNTPリフレクションだけではない。古くから使われてきた手口が未だに被害を与えているとともに、別のプロトコルを利用するリフレクション攻撃も増加しているのだ。これらの攻撃に対して、セキュリティツールやソリューションは果たして有効に働くのだろうか?


1

従来の典型的なDDoS攻撃の手口は?

 DDoS攻撃は1990年代から継続して被害をもたらしている。インターネットの一般的な通信方法を悪用する手口なので、攻撃が短時間に集中する場合以外には、不正な通信なのか正当な通信なのかの判断がつかない。ある特徴をもつ通信がどうやら攻撃らしいとわかっても、その特徴をもつ通信すべてを遮断すると正当な通信も影響を受けることがある。そこにDDoS攻撃対策の難しさがある。
 それでも、古典的なDDoS攻撃はNTPリフレクション攻撃のように効率的に巨大トラフィックを作り出すことができないので、現在の高速ネットワークにおいては簡単にサービス停止に追い込むことはそもそも難しくなってきているうえ、実質的な被害を受けないようにする対策がいくつかある。まずはそこから見ていこう。

1-1

SYN Flood攻撃への対策

 現在でも多いのが、サーバーに過大な負荷をかけるために、接続要求(SYN)パケットを送り続けるだけのSYN Flood攻撃だ。SYNパケットへの返答としてサーバーにSYN/ACKパケットを送出させる一方、それに応えるACKパケットを送らない。サーバーは設定されたタイムアウトまで一定時間ACKパケットを待ち続けるので他のTCP接続に影響が出る。またサーバーは再送に備えて必要な情報を記憶しておくが、次々にSYNパケットが来ると記憶領域が満杯になってしまい、ダウンすることもある。ウイルス感染した多数のPC(ボット化)を遠隔操作して、多数のPCから一斉に攻撃を行うと簡単に目的を果たすことができる。
 自社システムでの対策として有効なのはSYN Cookie機能だ。これはSYN/ACKパケットにTCPシーケンス番号を含ませ、それに対するACKにシーケンス番号が含まれていれば初めてTCP接続情報を記録するやり方だ。最初は情報を記録しないので、無駄にリソースを消費せずに済む。この機能はOSに備えられているので、対応可能なOSで機能を有効にすればよい。ADC(アプリケーション デリバリ コントローラ)にこの機能を備えるものもある。また対応機能を備えるファイアウォールの導入、タイムアウト時間の短縮、ADCやロードバランサによるサーバーの負荷分散、サーバーリソースの増強によっても抑えこむことができる。
 現在はISPなど通信事業者が特定のサーバーやポートに対する異常なアクセス増加を発見次第、アクセスを遮断してくれるケースが増えたが、対応可能な量を超えると、自社のシステムすなわち他の契約者への通信サービスを守るために、攻撃対象への正常なアクセスを含むすべてのTCP通信を一時的に止めてしまう。対策がとられてはいても、結果的にDDoS攻撃の目的が果たされてしまうことには注意したい。DDoS攻撃はある程度までは抑えこめるが、完全に防ぐ方法はないのだ。

セキュリティ情報局にご登録頂いた方限定で「特効薬あります!最新DDoS攻撃と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


DDoS攻撃/特効薬あります!最新DDoS攻撃と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「DDoS攻撃」関連情報をランダムに表示しています。

DDoS攻撃」関連の製品

Limelight Content Delivery Network 【ライムライト・ネットワークス・ジャパン】 Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】 McAfee Network Security Platform シリーズ 【マクニカネットワークス】
CDN ADC/ロードバランサ IPS
デジタルデータやコンテンツを多様なデバイスに安全かつスムーズに届けることができるコンテンツ配信ソリューション。
ウェブサイトセキュリティをCDN経由で担保。
トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品 複数の高精度な検知手法で様々な攻撃を防御。クラウドレピュテーション連携、ボットネット検知、最大80Gbpsへのパフォーマンス拡張などを実現する次世代型IPS製品

DDoS攻撃」関連の特集


アプリケーション層レベルでトラフィックを制御、セキュリティ機能も搭載した「アプリケーション・デリバリ…



 ミッションクリティカルな事業継続を行う上で、メールサーバや業務サーバ、中でもとりわけWebサーバの…



IPAが「情報セキュリティ10大脅威」2016年版を公開しました。企業を襲う脅威をまとめた「組織」編…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007392


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ