SC:脅威 - DoS攻撃
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:脅威]]
*目次 [#f53b92f7]
#contents
*概要 [#taadd066]
DoS(Denial of Service)攻撃
**影響 [#mf8d4ef5]
システム・リソース、ネットワーク帯域の枯渇によるシステム...
**攻撃手法 [#d9c760c5]
***Stream Flood攻撃 [#c92f4eff]
-過剰なパケットでネットワークやサーバへ負荷をかける。
-偽の送信元IPアドレス、ポート、RSTフラグが設定されたパケ...
***SYN Flood攻撃 [#w8c0c84a]
-3ウェイ・ハンドシェイクの開始のSYNを送って放置する(SYN ...
-すると、サーバは、タイムアウトまでリソースを保持しておく...
-このSYNを短時間に大量送信することでサーバのメモリを大量...
※なお、FINでも同じようなことが出来るらしい(FIN flood攻撃...
***ACK Flood攻撃 [#kd9d3ddc]
-ACKをいきなり送信するため、パケットは単に廃棄されて接続...
-しかしパケット廃棄を大量に行うため、同様にリソース枯渇を...
***Connection Flood、Connection Exhaustion攻撃 [#v529ca3c]
-システム・リソースが枯渇するまで、Connection確立を続ける。
-アドレス偽装はできないがターゲットに確実に影響を与える可...
***UDP Flood攻撃 [#e9cba2fb]
-Connection FloodをUDPパケットで行う。
-UDPフラッド攻撃には、2種類の手法がある。
-ランダム・ポート・フラッド攻撃
--サーバのランダムなポートに対してUDPパケットを大量に送信...
--サーバは以下を処理するため、リソースを消費する。
---そのポートで待機しているアプリケーションを繰り返し確認...
---アプリケーションが見つからない場合、Destination Unreac...
-フラグメント攻撃
--大きなサイズのUDPパケットを大量に送信することで、~
送信先は大量の処理をするためにリソースを消費する。
--逆に、小さなパケットのデータを大量に送信することで、~
ネットワークデバイス(特にF/W)に負荷をかけることもできる。
***ICMP(ping) Flood攻撃 [#sb9eb380]
Connection FloodをICMP(ping)パケットで行う。
**対策 [#dce3c96d]
***一般的対策 [#qe618341]
-予防・防止
--十分な処理能力
--F/W、機器での帯域制限
--CDNの利用、CDNのDDoS対策サービスを利用
-検知・追跡
--IDPS
-回復
--F/W、機器でのパケット遮断
--プロバイダ側での帯域制限
***Stream Flood攻撃 [#gc17d25f]
***SYN Flood攻撃 [#z55a27d9]
-Syn cookies(http://ja.wikipedia.org/wiki/SYN_cookies)
-Syn Floodプロテクション機能を持つOS
-SYN → SYN/ACKのタイムアウトを短く
***ACK Flood攻撃 [#r0b82708]
***Connection Flood、Connection Exhaustion攻撃 [#adc4b8d8]
-ソケット数、TCPキューを増やす。負荷分散。
-同一IPからの接続数制限、パケットをF/Wで遮断。
***UDP Flood攻撃 [#m669e20c]
UDPサービスの停止
***ICMP(ping) Flood攻撃 [#r925caf2]
ICMPサービスの停止
*名前付きDoS [#n61dab10]
**DDoS(Distributed Denial of Service) [#v923ada0]
***影響 [#b5cecd36]
DoSと同じ。
***攻撃手法 [#g5fe8836]
-大量のマシンから一斉にDoS攻撃を仕掛ける。
-[[DDoS攻撃の種類>#i24b7c8f]]
***対策 [#q276e7ea]
-各種リソースを増やす。
-攻撃元IPからの(アドレス偽装されている)パケット、~
ブロードキャスト・パケット、不要なICMP、UDPをF/Wで遮断。
***DNSフラッド(DNS Flood)攻撃 [#w501e128]
-キャッシュ サーバがオープン リゾルバになっていることが問...
--[[キャッシュ サーバは再帰クエリを受けて、コンテンツ サ...
--オープン リゾルバとして不特定多数に公開されていると踏み...
-影響
--コンテンツ サーバのダウン
--踏み台となったキャッシュ サーバがダウンする場合もある。
-攻撃手法~
オープン リゾルバのキャッシュ サーバに大量の再帰クエリを...
大量の反復クエリを生成することで、対象のコンテンツ サーバ...
-対策
--オープン リゾルバにしない。
--F/W、機器での帯域制限。
**DRDoS(Distributed Reflection Denial of Service) [#i6e...
***影響 [#t9d5feb5]
DoSと同じ。
***攻撃手法 [#cdedc319]
-送信元アドレスを攻撃対象のアドレスに偽装したパケットを~
多数のコンピュータに送信し、その応答を攻撃対象に集中させ...
-利用可能なパケットの例
--TCP:
---SYN → SYN/ACK
---SYN → RST
---ACK → RST
---DATA → RST
---NULL → RST
--UDP:
---UDP → プロトコル依存
---UDP → ICMP port unreachable
--ICMP:
---echo request → echo reply
---timestamp request → timestamp reply
---address mask request → address mask reply
--その他
---DNS query → DNS reply
---IP pkt → ICMP time exceeded
-参考
--DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた~
セキュリティ対策 | CyberSecurityTIMES~
https://www.shadan-kun.com/blog/measure/1426/
***対策 [#n769c190]
個別
***DNSリフレクション(DNS amp)攻撃 [#h67db2bc]
-キャッシュ サーバがオープン リゾルバになっていることが問...
--[[キャッシュ サーバは再帰クエリを受けて反復クエリを行う...
--オープン リゾルバとして不特定多数に公開されていると踏み...
-影響
--ターゲット・ホストのダウン
--踏み台となったキャッシュ サーバがダウンする場合もある。
-攻撃手法~
--攻撃に加担させるオープン リゾルバのキャッシュ サーバに...
---発信元アドレスを最終的なターゲットのホストIPに詐称
---この際、応答メッセージが大きくなるようにする。
--クエリを受け取ったキャッシュ サーバは、
---大量に、DNS query → DNS replyの処理を行うが、
---詐称されたターゲットのホストIPに応答を返す→DDoSになる。
-対策
--オープン リゾルバにしない。
--F/W、機器での帯域制限。
***ICMPリフレクション(Smurf)攻撃 [#ia2438a2]
上記をICMP echo requestのReflectionで行う DRDoS 攻撃
-攻撃手法~
攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐...
ICMP echo requestでブロードキャスト・アドレスを使用して行...
-対策
--ICMPサービスの停止
--F/W(ICMP)
***NTPリフレクション攻撃 [#b96fca3b]
-Network Time Protocol(NTP)のmonlist 機能を使った DRDoS...
-monlist 機能はNTPサーバが過去にやり取りした600件のアドレ...
-攻撃手法~
送信元IPアドレスを偽装して要求を大量送信することで、対象...
-対策
--monlist 機能を無効にする
--F/W(monlist)
**EDoS (Economic Denial of Service) [#jb31b400]
***影響 [#qa819497]
-クラウド・サービスの契約者に経済的な損失を与える。
-従量課金サービスからの高額な請求が行われる。
***攻撃手法 [#d5b45114]
対象の従量課金サービスに高負荷を掛ける。
***対策 [#lcb19d35]
従量課金サービス側でのフィルタリング。
*その他 [#o505db5f]
**単純に負荷をかけるDoS [#s105560e]
***メール [#kfa1e5de]
-スパムメール(迷惑メール)~
--受信者や媒体の意向を無視して、~
無差別かつ大量に一括してばらまかれるメール
--UBE : Unsolicited Bulk Email~
望まない大量の電子メール、迷惑メール全般
--UCE : Unsolicited Commercial Email~
望まない営利目的の電子メール、商業目的の無差別配信メール
-NDRスパム~
NDRの機能を使用してスパムを送る([[Reflection>#i6e3ffba]]...
-メールボム
--スパムメールの大量送信
--メールサーバ(POP/SMTPやIMAP)に負荷をかける。
***HTTP GET/POST Flood攻撃 [#p5a63830]
HTTP GET/POSTを大量送信して、Webサーバに負荷をかける。
**Slow HTTP DoS攻撃 [#k315749f]
比較的少ないパケット数で長時間に渡りTCPセッションを占有す...
TCPの問題を突いた攻撃方法で、HTTP以外のプロトコルでも実行...
***Slow HTTP Headers Attack [#w7296bd4]
待機時間を挟みながら、長大なHTTPリクエストヘッダを送信し...
***Slow HTTP POST Attack [#z9f8f978]
待機時間を挟みながら、長大なPOSTペイロードを送信し続ける
***Slow Read DoS Attack [#g5794888]
小さなTCPウィンドウサイズを指定して、HTTPレスポンスを~
少しずつ受信することでセッションの継続時間を引き延ばす攻...
**DDoS攻撃の種類 [#i24b7c8f]
***マルチベクトル型DDoS攻撃 [#uf8140f6]
複数のDDoS攻撃手法を組み合わせて標的のサービス停止を狙う...
***ボットネットを使ったDDoS攻撃 [#jb3994d3]
DoSを踏み台サイトのボット(ボットネット)から行う。
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:脅威]]
*目次 [#f53b92f7]
#contents
*概要 [#taadd066]
DoS(Denial of Service)攻撃
**影響 [#mf8d4ef5]
システム・リソース、ネットワーク帯域の枯渇によるシステム...
**攻撃手法 [#d9c760c5]
***Stream Flood攻撃 [#c92f4eff]
-過剰なパケットでネットワークやサーバへ負荷をかける。
-偽の送信元IPアドレス、ポート、RSTフラグが設定されたパケ...
***SYN Flood攻撃 [#w8c0c84a]
-3ウェイ・ハンドシェイクの開始のSYNを送って放置する(SYN ...
-すると、サーバは、タイムアウトまでリソースを保持しておく...
-このSYNを短時間に大量送信することでサーバのメモリを大量...
※なお、FINでも同じようなことが出来るらしい(FIN flood攻撃...
***ACK Flood攻撃 [#kd9d3ddc]
-ACKをいきなり送信するため、パケットは単に廃棄されて接続...
-しかしパケット廃棄を大量に行うため、同様にリソース枯渇を...
***Connection Flood、Connection Exhaustion攻撃 [#v529ca3c]
-システム・リソースが枯渇するまで、Connection確立を続ける。
-アドレス偽装はできないがターゲットに確実に影響を与える可...
***UDP Flood攻撃 [#e9cba2fb]
-Connection FloodをUDPパケットで行う。
-UDPフラッド攻撃には、2種類の手法がある。
-ランダム・ポート・フラッド攻撃
--サーバのランダムなポートに対してUDPパケットを大量に送信...
--サーバは以下を処理するため、リソースを消費する。
---そのポートで待機しているアプリケーションを繰り返し確認...
---アプリケーションが見つからない場合、Destination Unreac...
-フラグメント攻撃
--大きなサイズのUDPパケットを大量に送信することで、~
送信先は大量の処理をするためにリソースを消費する。
--逆に、小さなパケットのデータを大量に送信することで、~
ネットワークデバイス(特にF/W)に負荷をかけることもできる。
***ICMP(ping) Flood攻撃 [#sb9eb380]
Connection FloodをICMP(ping)パケットで行う。
**対策 [#dce3c96d]
***一般的対策 [#qe618341]
-予防・防止
--十分な処理能力
--F/W、機器での帯域制限
--CDNの利用、CDNのDDoS対策サービスを利用
-検知・追跡
--IDPS
-回復
--F/W、機器でのパケット遮断
--プロバイダ側での帯域制限
***Stream Flood攻撃 [#gc17d25f]
***SYN Flood攻撃 [#z55a27d9]
-Syn cookies(http://ja.wikipedia.org/wiki/SYN_cookies)
-Syn Floodプロテクション機能を持つOS
-SYN → SYN/ACKのタイムアウトを短く
***ACK Flood攻撃 [#r0b82708]
***Connection Flood、Connection Exhaustion攻撃 [#adc4b8d8]
-ソケット数、TCPキューを増やす。負荷分散。
-同一IPからの接続数制限、パケットをF/Wで遮断。
***UDP Flood攻撃 [#m669e20c]
UDPサービスの停止
***ICMP(ping) Flood攻撃 [#r925caf2]
ICMPサービスの停止
*名前付きDoS [#n61dab10]
**DDoS(Distributed Denial of Service) [#v923ada0]
***影響 [#b5cecd36]
DoSと同じ。
***攻撃手法 [#g5fe8836]
-大量のマシンから一斉にDoS攻撃を仕掛ける。
-[[DDoS攻撃の種類>#i24b7c8f]]
***対策 [#q276e7ea]
-各種リソースを増やす。
-攻撃元IPからの(アドレス偽装されている)パケット、~
ブロードキャスト・パケット、不要なICMP、UDPをF/Wで遮断。
***DNSフラッド(DNS Flood)攻撃 [#w501e128]
-キャッシュ サーバがオープン リゾルバになっていることが問...
--[[キャッシュ サーバは再帰クエリを受けて、コンテンツ サ...
--オープン リゾルバとして不特定多数に公開されていると踏み...
-影響
--コンテンツ サーバのダウン
--踏み台となったキャッシュ サーバがダウンする場合もある。
-攻撃手法~
オープン リゾルバのキャッシュ サーバに大量の再帰クエリを...
大量の反復クエリを生成することで、対象のコンテンツ サーバ...
-対策
--オープン リゾルバにしない。
--F/W、機器での帯域制限。
**DRDoS(Distributed Reflection Denial of Service) [#i6e...
***影響 [#t9d5feb5]
DoSと同じ。
***攻撃手法 [#cdedc319]
-送信元アドレスを攻撃対象のアドレスに偽装したパケットを~
多数のコンピュータに送信し、その応答を攻撃対象に集中させ...
-利用可能なパケットの例
--TCP:
---SYN → SYN/ACK
---SYN → RST
---ACK → RST
---DATA → RST
---NULL → RST
--UDP:
---UDP → プロトコル依存
---UDP → ICMP port unreachable
--ICMP:
---echo request → echo reply
---timestamp request → timestamp reply
---address mask request → address mask reply
--その他
---DNS query → DNS reply
---IP pkt → ICMP time exceeded
-参考
--DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた~
セキュリティ対策 | CyberSecurityTIMES~
https://www.shadan-kun.com/blog/measure/1426/
***対策 [#n769c190]
個別
***DNSリフレクション(DNS amp)攻撃 [#h67db2bc]
-キャッシュ サーバがオープン リゾルバになっていることが問...
--[[キャッシュ サーバは再帰クエリを受けて反復クエリを行う...
--オープン リゾルバとして不特定多数に公開されていると踏み...
-影響
--ターゲット・ホストのダウン
--踏み台となったキャッシュ サーバがダウンする場合もある。
-攻撃手法~
--攻撃に加担させるオープン リゾルバのキャッシュ サーバに...
---発信元アドレスを最終的なターゲットのホストIPに詐称
---この際、応答メッセージが大きくなるようにする。
--クエリを受け取ったキャッシュ サーバは、
---大量に、DNS query → DNS replyの処理を行うが、
---詐称されたターゲットのホストIPに応答を返す→DDoSになる。
-対策
--オープン リゾルバにしない。
--F/W、機器での帯域制限。
***ICMPリフレクション(Smurf)攻撃 [#ia2438a2]
上記をICMP echo requestのReflectionで行う DRDoS 攻撃
-攻撃手法~
攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐...
ICMP echo requestでブロードキャスト・アドレスを使用して行...
-対策
--ICMPサービスの停止
--F/W(ICMP)
***NTPリフレクション攻撃 [#b96fca3b]
-Network Time Protocol(NTP)のmonlist 機能を使った DRDoS...
-monlist 機能はNTPサーバが過去にやり取りした600件のアドレ...
-攻撃手法~
送信元IPアドレスを偽装して要求を大量送信することで、対象...
-対策
--monlist 機能を無効にする
--F/W(monlist)
**EDoS (Economic Denial of Service) [#jb31b400]
***影響 [#qa819497]
-クラウド・サービスの契約者に経済的な損失を与える。
-従量課金サービスからの高額な請求が行われる。
***攻撃手法 [#d5b45114]
対象の従量課金サービスに高負荷を掛ける。
***対策 [#lcb19d35]
従量課金サービス側でのフィルタリング。
*その他 [#o505db5f]
**単純に負荷をかけるDoS [#s105560e]
***メール [#kfa1e5de]
-スパムメール(迷惑メール)~
--受信者や媒体の意向を無視して、~
無差別かつ大量に一括してばらまかれるメール
--UBE : Unsolicited Bulk Email~
望まない大量の電子メール、迷惑メール全般
--UCE : Unsolicited Commercial Email~
望まない営利目的の電子メール、商業目的の無差別配信メール
-NDRスパム~
NDRの機能を使用してスパムを送る([[Reflection>#i6e3ffba]]...
-メールボム
--スパムメールの大量送信
--メールサーバ(POP/SMTPやIMAP)に負荷をかける。
***HTTP GET/POST Flood攻撃 [#p5a63830]
HTTP GET/POSTを大量送信して、Webサーバに負荷をかける。
**Slow HTTP DoS攻撃 [#k315749f]
比較的少ないパケット数で長時間に渡りTCPセッションを占有す...
TCPの問題を突いた攻撃方法で、HTTP以外のプロトコルでも実行...
***Slow HTTP Headers Attack [#w7296bd4]
待機時間を挟みながら、長大なHTTPリクエストヘッダを送信し...
***Slow HTTP POST Attack [#z9f8f978]
待機時間を挟みながら、長大なPOSTペイロードを送信し続ける
***Slow Read DoS Attack [#g5794888]
小さなTCPウィンドウサイズを指定して、HTTPレスポンスを~
少しずつ受信することでセッションの継続時間を引き延ばす攻...
**DDoS攻撃の種類 [#i24b7c8f]
***マルチベクトル型DDoS攻撃 [#uf8140f6]
複数のDDoS攻撃手法を組み合わせて標的のサービス停止を狙う...
***ボットネットを使ったDDoS攻撃 [#jb3994d3]
DoSを踏み台サイトのボット(ボットネット)から行う。
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
