今⽇やること
◦ ネットワーク上の脅威と対策
サービス妨害(DoS)攻撃
マルウェア
新しいタイプの攻撃(APT)
サービス妨害(DoS)攻撃
DoS攻撃とは? Denial of Service:サービスを不能にする攻撃
プロトコル型
Flooding(洪⽔)型
• Ping of Death (PoD)
• 規定サイズを遙かに超える巨⼤パケットを送信し、クラッシュをさせる
• Land
• 送信元アドレスを、送り先アドレスと同じにして送り、無限ループを誘う
• TearDrop
• IPパケット分割のためのオフセット(順序情報)を偽造することで不正な パケットを⽣成し、美味く処理できない受けてをクラッシュさせる
次スライドで解説。 分散型サービス妨害
(Distributed Denial of Service, DDoS)攻撃
Smurf
ICMPのEcho Request
◦
受けた側でICMP Echoに対 応しているものはEcho Replyを返す
ネットワークの全体(ブ ロードキャスト)にICMP Echoを投げる
そのときに、送信元アド レスを偽装し、攻撃対象 のアドレスにする
⼤量のICMP Echo Reply が攻撃対象のアドレスに
送られる
攻撃者被害者
Flooding(洪⽔)型DoS攻撃
SYN Flooding
◦
TCPのSYNパケットを⼤
◦
量に送信 SYN+ACK送信後の待ち 状態を⼤量に起こさせ、
メモリオーバを誘発させ る
Connection Flooding
◦
TCPの3-Way Handshake を完成させたあと放置す ることで、待ち状態を⼤
量に起こさせ、メモリ オーバを誘発させる
◦
TCP Floodingとも
HTTP Flooding
アプリケーション Flooding
SYN
SYN+ACK
ACK
FloodingSYNSYN Flooding
Connection Flooding Connection
Flooding
Application Flooding Application
Flooding
FloodingHTTPHTTP Flooding
別の観点からのDoS Flooding攻撃
サーバのメモリに対する攻撃
◦ SYN FloodingやConnection Flooding
サーバのCPUに対する攻撃
◦ HTTP Floodingやアプリケーション Flooding
ネットワークのトラフィックに対する 攻撃
◦ Flooding全般
2010年9⽉のDDoS攻撃事例
尖閣諸島沖の海保巡視船と中国船舶の 衝突事件に端を発する
攻撃対象や期間が事前にWebで予告
その多くはConnection Flood
そのときの時期でIIJが観測したのは
◦ 最⼤275000pps、1.4Gbps
◦ 1番⻑い攻撃は、12⽇間(291時間)に渡り 最⼤で120000pps、670Mbpsの通信量
◦ http://www.iij.ad.jp/development/iir/pd
f/iir_vol10_infra.pdf
DoSの対策
SYN Cookies
◦ メモリ確保をせずに、返答パケット
(SYN+ACK)内のTCPシーケンス番号に 記憶すべき情報をいれる
◦ 偽装IPを利⽤している場合、攻撃者に届 かないので攻撃者は同じ情報を返すこと ができない
◦ 正しいIPの利⽤者(正しくACKが返って きた)の分は後ほど記憶可能となる
フィルタリング(Filtering)
◦ Connection型 Flooding
◦ IPアドレス遮断
◦ 接続数制限
異常検出(Anomaly Detection)
◦ 異常検出
◦ ログ内容やその量などの傾向を⾒る(⼈
間)
組織間連携
SYN
SYN+ACK ACK
DoS攻撃対策の研究分類
• ターゲットに攻撃が届く前に⽌める技術
• Ingress/Egress Filteringなど
Attack Prevention
• DoS攻撃発⽣時に検知する技術
• 異常検知(Anomaly Detection)など
Attack Detection
• 攻撃元を特定する技術
• IPトレースバックなど
Attack Source Identificati
on
• 攻撃の効果を除去あるいは削減する技術
• 中継点や攻撃元ネットワークでの対処など
Attack Reaction
ロギング⽅式 中継ルータでパケットを記録 ICMP⽅式 経路再構成情報をICMPで送信 確率的パケット
マーキング
(PPM)⽅式
パケットヘッダに経路情報を 確率的に付与
トレースバック技術
Flash Crowd
短時間に⼤量のアクセスが特定サーバに集中 する事象 ◦ 攻撃ではない
◦ Yahoo!トップニュースや、テレビ番組
Flooding型のDoS攻撃と本質的な違いが無い
マルウェア
Malware (Malicious Software)
◦ 不正なソフトウェアの総称
◦ 悪意のある/悪質な、ソフトウェアやコード
◦ コンピュータウイルス、ワーム、バックドア、キーロガー、トロイ の⽊⾺、ボット…等
歴史上のマルウェア
◦ 1988年 Morrisワーム
◦ 2001年 Nimda、CodeRed
◦ 2008年 Conficker
◦ 2009年 Gumblar
感染経路の例
◦ フロッピーディスク
◦ USB
◦ ネットワークプロトコル
◦ メール
◦ Web
Drive-by-Download
Robert Tappan Morris
(1965-)
マルウェア対策
感染経路の遮断
◦ ユーザの注意
不⽤意にメールを開かない
あやしいURLはクリックしない
◦ ネットワーク内での対処
プロキシ、ファイアウォール
ウイルス対策ソフト
◦ シグネチャ型
パターンファイル
定義ファイル
◦ マルウェア解析(次スライド)
マルウェア解析
静的解析と動的解析
◦ 静的解析
バイナリコードを逆アセンブル
◦ 動的解析
隔離環境で実際に実⾏し挙動を観測
パック(パッキング)対応
◦ パッキング:圧縮などを⽤いてプログラムの外⾒
◦ を変える アンパック
動的解析の妨害
◦ 動的解析ツールの検出
◦ マルウェア⾃⾝の再起動
◦ デバッガの検出
◦ プロセスなりすまし
新しいタイプの攻撃
(APT:Advanced Persistent Threat))
Operation Aurora
◦ 2009年12⽉
◦ Google等の有名企業数⼗社の内部 情報やソースコードが狙われた攻撃
◦ ゼロデイ攻撃:未知の脆弱性の悪⽤
による攻撃
Stuxnet
◦ 2010年7⽉
◦ イランの核再処理⼯場の制御システ ムがターゲット
◦ 国家の関与?