![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:脅威]] *目次 [#f53b92f7] #contents *概要 [#taadd066] DoS(Denial of Service)攻撃 **影響 [#mf8d4ef5] システム・リソース、ネットワーク帯域の枯渇によるシステムダウン **攻撃手法 [#d9c760c5] ***Stream Flood攻撃 [#c92f4eff] -過剰なパケットでネットワークやサーバへ負荷をかける。 -偽の送信元IPアドレス、ポート、RSTフラグが設定されたパケットを大量送信する。 ***SYN Flood攻撃 [#w8c0c84a] -3ウェイ・ハンドシェイクの開始のSYNを送って放置する(SYN ACKを無視)。 -すると、サーバは、タイムアウトまでリソースを保持しておく必要がある。 -このSYNを短時間に大量送信することでサーバのメモリを大量消費させる。 ※なお、FINでも同じようなことが出来るらしい(FIN flood攻撃)。 ***ACK Flood攻撃 [#kd9d3ddc] -ACKをいきなり送信するため、パケットは単に廃棄されて接続拒否(RST)を返す。 -しかしパケット廃棄を大量に行うため、同様にリソース枯渇を引き起こす。 ***Connection Flood、Connection Exhaustion攻撃 [#v529ca3c] -システム・リソースが枯渇するまで、Connection確立を続ける。 -アドレス偽装はできないがターゲットに確実に影響を与える可能性が高い手法。 ***UDP Flood攻撃 [#e9cba2fb] -Connection FloodをUDPパケットで行う。 -UDPフラッド攻撃には、2種類の手法がある。 -ランダム・ポート・フラッド攻撃 --サーバのランダムなポートに対してUDPパケットを大量に送信する。 --サーバは以下を処理するため、リソースを消費する。 ---そのポートで待機しているアプリケーションを繰り返し確認し、 ---アプリケーションが見つからない場合、Destination Unreachable(ICMP)応答をする。 -フラグメント攻撃 --大きなサイズのUDPパケットを大量に送信することで、~ 送信先は大量の処理をするためにリソースを消費する。 --逆に、小さなパケットのデータを大量に送信することで、~ ネットワークデバイス(特にF/W)に負荷をかけることもできる。 ***ICMP(ping) Flood攻撃 [#sb9eb380] Connection FloodをICMP(ping)パケットで行う。 **対策 [#dce3c96d] ***一般的対策 [#qe618341] -予防・防止 --十分な処理能力 --F/W、機器での帯域制限 --CDNの利用、CDNのDDoS対策サービスを利用 -検知・追跡 --IDPS -回復 --F/W、機器でのパケット遮断 --プロバイダ側での帯域制限 ***Stream Flood攻撃 [#gc17d25f] ***SYN Flood攻撃 [#z55a27d9] -Syn cookies(http://ja.wikipedia.org/wiki/SYN_cookies) -Syn Floodプロテクション機能を持つOS -SYN → SYN/ACKのタイムアウトを短く ***ACK Flood攻撃 [#r0b82708] ***Connection Flood、Connection Exhaustion攻撃 [#adc4b8d8] -ソケット数、TCPキューを増やす。負荷分散。 -同一IPからの接続数制限、パケットをF/Wで遮断。 ***UDP Flood攻撃 [#m669e20c] UDPサービスの停止 ***ICMP(ping) Flood攻撃 [#r925caf2] ICMPサービスの停止 *名前付きDoS [#n61dab10] **DDoS(Distributed Denial of Service) [#v923ada0] ***影響 [#b5cecd36] DoSと同じ。 ***攻撃手法 [#g5fe8836] 大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛ける。 -大量のマシンから一斉にDoS攻撃を仕掛ける。 -[[DDoS攻撃の種類>#i24b7c8f]] ***対策 [#q276e7ea] -各種リソースを増やす。 -攻撃元IPからの(アドレス偽装されている)パケット、~ ブロードキャスト・パケット、不要なICMP、UDPをF/Wで遮断。 ***DNSフラッド(DNS Flood)攻撃 [#w501e128] -キャッシュ サーバがオープン リゾルバになっていることが問題で起きる。 --[[キャッシュ サーバは再帰クエリを受けて、コンテンツ サーバに反復クエリを行う>https://techinfoofmicrosofttech.osscons.jp/index.php?DNS%E3%82%B5%E3%83%BC%E3%83%90#a04f4c5b]] --オープン リゾルバとして不特定多数に公開されていると踏み台として悪用される。 -影響 --コンテンツ サーバのダウン --踏み台となったキャッシュ サーバがダウンする場合もある。 -攻撃手法~ オープン リゾルバのキャッシュ サーバに大量の再帰クエリを投げ~ 大量の反復クエリを生成することで、対象のコンテンツ サーバを攻撃 -対策 --オープン リゾルバにしない。 --F/W、機器での帯域制限。 **DRDoS(Distributed Reflection Denial of Service) [#i6e3ffba] ***影響 [#t9d5feb5] DoSと同じ。 ***攻撃手法 [#cdedc319] -送信元アドレスを攻撃対象のアドレスに偽装したパケットを~ 多数のコンピュータに送信し、その応答を攻撃対象に集中させるDDoS攻撃。 -利用可能なパケットの例 --TCP: ---SYN → SYN/ACK ---SYN → RST ---ACK → RST ---DATA → RST ---NULL → RST --UDP: ---UDP → プロトコル依存 ---UDP → ICMP port unreachable --ICMP: ---echo request → echo reply ---timestamp request → timestamp reply ---address mask request → address mask reply --その他 ---DNS query → DNS reply ---IP pkt → ICMP time exceeded -参考 --DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた~ セキュリティ対策 | CyberSecurityTIMES~ https://www.shadan-kun.com/blog/measure/1426/ ***対策 [#n769c190] 個別 ***DNSリフレクション(DNS amp)攻撃 [#h67db2bc] -キャッシュ サーバがオープン リゾルバになっていることが問題で起きる。 --[[キャッシュ サーバは再帰クエリを受けて反復クエリを行う>https://techinfoofmicrosofttech.osscons.jp/index.php?DNS%E3%82%B5%E3%83%BC%E3%83%90#a04f4c5b]] --オープン リゾルバとして不特定多数に公開されていると踏み台として悪用される。 -影響 --ターゲット・ホストのダウン --踏み台となったキャッシュ サーバがダウンする場合もある。 -攻撃手法~ --攻撃に加担させるオープン リゾルバのキャッシュ サーバに大量の再帰クエリを投げる。 ---発信元アドレスを最終的なターゲットのホストIPに詐称 ---この際、応答メッセージが大きくなるようにする。 --クエリを受け取ったキャッシュ サーバは、 ---大量に、DNS query → DNS replyの処理を行うが、 ---詐称されたターゲットのホストIPに応答を返す→DDoSになる。 -対策 --オープン リゾルバにしない。 --F/W、機器での帯域制限。 ***ICMPリフレクション(Smurf)攻撃 [#ia2438a2] 上記をICMP echo requestのReflectionで行う DRDoS 攻撃 -攻撃手法~ 攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐称し~ ICMP echo requestでブロードキャスト・アドレスを使用して行う。 -対策 --ICMPサービスの停止 --F/W(ICMP) ***NTPリフレクション攻撃 [#b96fca3b] -Network Time Protocol(NTP)のmonlist 機能を使った DRDoS 攻撃 -monlist 機能はNTPサーバが過去にやり取りした600件のアドレスを返す機能。 -攻撃手法~ 送信元IPアドレスを偽装して要求を大量送信することで、対象にDoS攻撃が可能。 -対策 --monlist 機能を無効にする --F/W(monlist) **EDoS (Economic Denial of Service) [#jb31b400] ***影響 [#qa819497] -クラウド・サービスの契約者に経済的な損失を与える。 -従量課金サービスからの高額な請求が行われる。 ***攻撃手法 [#d5b45114] 対象の従量課金サービスに高負荷を掛ける。 ***対策 [#lcb19d35] 従量課金サービス側でのフィルタリング。 *その他 [#o505db5f] **単純に負荷をかけるDoS [#s105560e] ***メール [#kfa1e5de] -スパムメール(迷惑メール)~ --受信者や媒体の意向を無視して、~ 無差別かつ大量に一括してばらまかれるメール --UBE : Unsolicited Bulk Email~ 望まない大量の電子メール、迷惑メール全般 --UCE : Unsolicited Commercial Email~ 望まない営利目的の電子メール、商業目的の無差別配信メール -NDRスパム~ NDRの機能を使用してスパムを送る([[Reflection>#i6e3ffba]]的) -メールボム --スパムメールの大量送信 --メールサーバ(POP/SMTPやIMAP)に負荷をかける。 ***HTTP GET/POST Flood攻撃 [#p5a63830] HTTP GET/POSTを大量送信して、Webサーバに負荷をかける。 **Slow HTTP DoS攻撃 [#k315749f] 比較的少ないパケット数で長時間に渡りTCPセッションを占有する。~ TCPの問題を突いた攻撃方法で、HTTP以外のプロトコルでも実行し得る。 ***Slow HTTP Headers Attack [#w7296bd4] 待機時間を挟みながら、長大なHTTPリクエストヘッダを送信し続ける ***Slow HTTP POST Attack [#z9f8f978] 待機時間を挟みながら、長大なPOSTペイロードを送信し続ける ***Slow Read DoS Attack [#g5794888] 小さなTCPウィンドウサイズを指定して、HTTPレスポンスを~ 少しずつ受信することでセッションの継続時間を引き延ばす攻撃手法。 **DDoS攻撃 [#i24b7c8f] **DDoS攻撃の種類 [#i24b7c8f] ***マルチベクトル型DDoS攻撃 [#uf8140f6] 複数のDDoS攻撃手法を組み合わせて標的のサービス停止を狙う攻撃 ***ボットネットを使ったDDoS攻撃 [#jb3994d3] DoSを踏み台サイトのボット(ボットネット)から行う。
