「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
DoS(Denial of Service)攻撃
影響 †
システム・リソース、ネットワーク帯域の枯渇によるシステムダウン
攻撃手法 †
- Syn Flood攻撃
- TCPの接続開始要求であるSynパケットを大量送付。
- 実際に接続はしない。
- Connection Flood攻撃
- システム・リソースが枯渇するまで、Connection確立を続ける。
- アドレス偽装はできないがターゲットに確実に影響を与える可能性が高い手法。
- UDP Flood攻撃
Connection FloodをUDPパケットで行う。
- ICMP(ping) Flood攻撃
Connection FloodをICMP(ping)パケットで行う。
- smurf攻撃
- 上記をICMP echo requestのReflectionで行う。
- 攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐称し
ICMP echo requestでブロードキャスト・アドレスを使用して行う。
対策 †
- Syn Flood攻撃
- Connection Flood攻撃
- ソケット数、TCPキューを増やす。負荷分散。
- 同一IPからの接続数制限、パケットをF/Wで遮断。
- UDP Flood攻撃
- ICMP(ping) Flood攻撃
- ICMPサービスの停止
- F/W、機器での帯域制限。
- smurf攻撃
F/W(ICMP echo requestでブロードキャスト・アドレス)
その他 †
DDoS(Distributed Denial of Service) †
影響 †
DoSと同じ。
攻撃手法 †
DoSを踏み台サイトのボット(ボットネット)から行う。
対策 †
- 各種リソースを増やす。
- 攻撃元IPからの(アドレス偽装されている)パケット、
ブロードキャスト・パケット、不要なICMP、UDPをF/Wで遮断。
DRDoS(Distributed Reflection Denial of Service) †
影響 †
DoSと同じ。
攻撃手法 †
DDoSをReflectionメカニズムを使用して行う。
- 攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐称。
攻撃に加担させるサーバ宛にパケットを送る。
・パケットを受け取ったサーバは、詐称された発信元アドレスに応答を返す。
利用可能なパケットの例
・TCP:SYN → SYN/ACK、SYN → RST、
ACK → RST、DATA → RST、NULL → RST
・UDP:UDP → プロトコル依存
UDP → ICMP port unreachable
・ICMP:echo request → echo reply、
timestamp request → timestamp reply、
address mask request → address mask reply
・DNS query → DNS reply
・IP pkt → ICMP time exceeded
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
