DDoS攻撃について

DDoS攻撃について

2016年3月1日

株式会社グローバルネットコア

金子 康行

目次

DDoS攻撃とは

DDoS攻撃が成立する背景

DDoS攻撃の目的

DDoS攻撃の状況

DDoS攻撃の防御手法

私たちはどうすればいいのか

DDoS攻撃とは

サービス不能 攻撃

大量のアクセスによりサーバを過負荷状態にする

大量のパケットによりネットワーク帯域をあふれさせる

セキュリティホールを突きシステムをダウンさせる

DDoS攻撃とは

DoS

F5攻撃

SYN Flood攻撃

UDP Flood攻撃

ICMP Flood攻撃

Connection Flood攻撃

DDoS (Distributed DoS)

Botnet等を利用し、多数の攻撃元から協調分散的に攻撃

DRDoS (Distributed Reflective DoS)

DDoS攻撃とは

DDoS攻撃とは

DDoS攻撃とは

DDoS攻撃が成立する背景

Botnetウイルス感染端末

オープンリゾルバ

脆弱なブロードバンドルータ

アドレス詐称に寛容なネットワーク

容易に「増幅」が可能なプロトコル仕様

Botnetウイルス感染端末

悪意を持ったプログラムを秘密裏にインストール（感染）

感染PCに遠隔から指令を出し、攻撃を行う

C＆Cサーバ （Command and Control）

ゾンビコンピュータ 攻撃対象 攻撃者 マルウェア感染 （トロイの木馬） 攻撃指令

オープンリゾルバ

不特定端末からの問い合わせを受け付けるDNSキャッ

シュサーバ

詐称されたIPアドレスからの問い合わせに応答すること

で、DNS Amp攻撃の踏み台に

脆弱なブロードバンドルータ

ファームウェアにセキュリティホールが存在する状態で大

量に出荷・販売

具体的には、オープンリゾルバなど反射増幅攻撃に利用

可能、インターネット側から管理画面にアクセス可能で

ID/パスワード情報が盗まれる、など

すべての機器でファームウェアの更新が適切に更新され

るのは困難

アドレス詐称に寛容なネットワーク

ISPがすべての通信に対して送信元IPアドレスの検証を

行っていれば、アドレスを詐称した通信は遮断できる

実際には必ずしも対策が徹底されていないのが実情

容易に「増幅」が可能なプロトコル仕様

小さな問い合わせで大きな応答を得ることが可能な特性

を利用し、反射増幅攻撃を仕掛ける

UDPはコネクションレスなため、IPアドレスを詐称しやす

い

増幅率が高く、「踏み台」として利用出来るホストが見つ

けやすいプロトコルが危険

DDoS攻撃の目的

嫌がらせ、愉快犯

私怨

金銭目的

政治的主張

国家間紛争

最近の主なDDoS攻撃

Anonymous

2016年1月31日

財務省、金融庁

2016年1月27日

警察庁、中部国際空港

2016年1月25日

厚生労働省

2016年1月22日

成田空港

2016年1月18日

金融庁

2016年1月12日

日産自動車

2015年11月10日

日本経済新聞社

DD4BC

2015年6月25日

セブン銀行

2015年5月22日

FXプライムbyGMO

DNS

2015年12月14日

ASAHIネット

2015年2月3日

VALUE DOMAIN、DTI

2015年2月1日

eo光

Anonymous

DDoS for hire services

「DDoS攻撃請負サービス」が多数存在

多くはBooter、Stresserなどと称する

DDoS攻撃の防御手法

十分な回線容量の確保

フィルタリング（ブロック）

ミティゲーション（緩和）

CDN等によるサーバ分散

十分な回線容量の確保

攻撃による流量を上回るキャパシティがあれば、そもそも

DoS（＝サービス停止）は成立しない

エンドユーザ側の回線容量増加は限界がある

ホスティング事業者、データセンター授業者、ISP事業者

のキャパシティは？

フィルタリング（ブロック）

攻撃を検知し、該当通信をフィルタ（ブロック）する

フィルタ以前に、回線を埋め尽くす流量があれば無意味

フィルタを行うためには、攻撃の発生検知と、フィルタ適

用条件（攻撃元、攻撃先、プロトコル等）の把握が必要

フィルタの範囲に通常の通信も含まれる場合、事実上

DoS（サービス停止）が成立してしまう

ミティゲーション（緩和）

専用の緩和装置（ミティゲーションデバイス）により、攻撃

とみなされる異常通信のみフィルタし、正常通信は通過さ

せる

緩和装置の処理能力を超える流量があれば無意味

緩和機器の個別導入は投資・運用両面で敷居が高い

ISPでのサービス化も進んでいるが、料金はまだ安くない

CDN等によるサーバ分散

CDN = Contents Delivery Network

多数のサーバにデータを分散配置し、大量のリクエストに対応す

るための仕組み

攻撃対象がCDNで分散しているので、攻撃も分散して薄

まり、DoS（サービス停止）に追い込まれない

DDoS攻撃対策のつらさ

一方的な被害、迷惑

いつ発生するか、そもそも発生するのかわからない

発生した場合の影響が大きい

基本的に「後ろ向き」な対策

高額な対策コストに対する見返りに乏しい

私たちはどうしたらいいのか？

安全・安心

ガバナンス

オープンネス

テクノロジーオリエンテッド

イノベーション