Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
目次
DDoS攻撃とは
DDoS攻撃が成立する背景
DDoS攻撃の目的
DDoS攻撃の状況
DDoS攻撃の防御手法
私たちはどうすればいいのか
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.2
DDoS攻撃とは
サービス不能 攻撃
大量のアクセスによりサーバを過負荷状態にする
大量のパケットによりネットワーク帯域をあふれさせる
セキュリティホールを突きシステムをダウンさせる
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.3
Denial of Service Attack
DDoS攻撃とは
DoSF5攻撃
SYN Flood攻撃
UDP Flood攻撃
ICMP Flood攻撃
Connection Flood攻撃
DDoS (Distributed DoS)Botnet等を利用し、多数の攻撃元から協調分散的に攻撃
DRDoS (Distributed Reflective DoS)UDP-Based Amplification攻撃 (NTP、DNS、SSDPなど)
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.4
DDoS攻撃とは
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.6
DDoS Attack!!
DDoS攻撃とは
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.7
DRDoS Attack!!
DDoS攻撃が成立する背景
Botnetウイルス感染端末
オープンリゾルバ
脆弱なブロードバンドルータ
アドレス詐称に寛容なネットワーク
容易に「増幅」が可能なプロトコル仕様
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.8
Botnetウイルス感染端末
悪意を持ったプログラムを秘密裏にインストール(感染)
感染PCに遠隔から指令を出し、攻撃を行う
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.9
C&Cサーバ(Command and Control)
ゾンビコンピュータ
攻撃対象
攻撃者
マルウェア感染(トロイの木馬)
攻撃指令
オープンリゾルバ
不特定端末からの問い合わせを受け付けるDNSキャッシュサーバ
詐称されたIPアドレスからの問い合わせに応答することで、DNS Amp攻撃の踏み台に
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.10
オープンリゾルバ(利用者を制限していない) 攻撃対象
攻撃者
攻撃対象が利用しているIPアドレスを詐称して通信
大きな応答が返る問い合わせ多数を行うことで、反射増幅攻撃を実現
脆弱なブロードバンドルータ
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.11
ファームウェアにセキュリティホールが存在する状態で大量に出荷・販売
具体的には、オープンリゾルバなど反射増幅攻撃に利用可能、インターネット側から管理画面にアクセス可能でID/パスワード情報が盗まれる、など
すべての機器でファームウェアの更新が適切に更新されるのは困難
アドレス詐称に寛容なネットワーク
ISPがすべての通信に対して送信元IPアドレスの検証を行っていれば、アドレスを詐称した通信は遮断できる
実際には必ずしも対策が徹底されていないのが実情
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.13
送信元アドレス検証
詐称したIPアドレスから通信
正規のIPアドレスから通信
容易に「増幅」が可能なプロトコル仕様
小さな問い合わせで大きな応答を得ることが可能な特性を利用し、反射増幅攻撃を仕掛ける
UDPはコネクションレスなため、IPアドレスを詐称しやすい
増幅率が高く、「踏み台」として利用出来るホストが見つけやすいプロトコルが危険
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.14
UDP-Based Amplification Attacks
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.15
Christian Rossow “Amplification Hell: Revisiting Network Protocols for DDoS Abuse”
DDoS攻撃の目的
嫌がらせ、愉快犯
私怨
金銭目的
政治的主張
国家間紛争
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.16
NORSE
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.17
http://map.norsecorp.com/
NICTOR
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.18
http://www.nicter.jp/nw_public/scripts/atlas.php
Digital Attack Map
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.19
http://www.digitalattackmap.com/
最近の主なDDoS攻撃
Anonymous2016年1月31日 財務省、金融庁2016年1月27日 警察庁、中部国際空港2016年1月25日 厚生労働省2016年1月22日 成田空港2016年1月18日 金融庁2016年1月12日 日産自動車2015年11月10日 日本経済新聞社
DD4BC2015年6月25日 セブン銀行2015年5月22日 FXプライムbyGMO
DNS2015年12月14日 ASAHIネット2015年2月3日 VALUE DOMAIN、DTI2015年2月1日 eo光
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.20
DNS Amplification Attack
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.21
http://www.atmarkit.co.jp/ait/articles/1303/28/news139.html
DD4BC
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.22
http://www.sankei.com/affairs/news/160113/afr1601130033-n1.html
Anonymous
http://itpro.nikkeibp.co.jp/atcl/news/16/011300089/
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.23
http://itpro.nikkeibp.co.jp/atcl/news/16/011300089/
DDoS for hire services
「DDoS攻撃請負サービス」が多数存在
多くはBooter、Stresserなどと称する
「子供のお小遣い」程度の金額で手軽に買えてしまう
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.25
DDoS for hire services
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.26
DDoS for hire services
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.27
DDoS for hire services
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.28
DDoS for hire services
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.29
DDoS攻撃の防御手法
十分な回線容量の確保
フィルタリング(ブロック)
ミティゲーション(緩和)
CDN等によるサーバ分散
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.30
十分な回線容量の確保
攻撃による流量を上回るキャパシティがあれば、そもそもDoS(=サービス停止)は成立しない
エンドユーザ側の回線容量増加は限界がある
ホスティング事業者、データセンター授業者、ISP事業者のキャパシティは?
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.31
フィルタリング(ブロック)
攻撃を検知し、該当通信をフィルタ(ブロック)する
フィルタ以前に、回線を埋め尽くす流量があれば無意味
フィルタを行うためには、攻撃の発生検知と、フィルタ適用条件(攻撃元、攻撃先、プロトコル等)の把握が必要
フィルタの範囲に通常の通信も含まれる場合、事実上DoS(サービス停止)が成立してしまう
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.32
ミティゲーション(緩和)
専用の緩和装置(ミティゲーションデバイス)により、攻撃とみなされる異常通信のみフィルタし、正常通信は通過させる
緩和装置の処理能力を超える流量があれば無意味
緩和機器の個別導入は投資・運用両面で敷居が高い
ISPでのサービス化も進んでいるが、料金はまだ安くない
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.33
CDN等によるサーバ分散
CDN = Contents Delivery Network多数のサーバにデータを分散配置し、大量のリクエストに対応するための仕組み
攻撃対象がCDNで分散しているので、攻撃も分散して薄まり、DoS(サービス停止)に追い込まれない
分散には分散で対応
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.34
DDoS攻撃防御サービスの例
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.35
http://www.ntt.com/release/monthNEWS/detail/20151001_3b.html
DDoS攻撃防御サービスの例
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.36
http://www.kddi.com/business/security-managed/security/ddos/
DDoS攻撃防御サービスの例
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.37
http://www.iij.ad.jp/biz/ddos/
DDoS攻撃防御サービスの例
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.38
http://www.bbtower.co.jp/ir/pr/2014/0825_000736/
DDoS攻撃対策のつらさ
一方的な被害、迷惑
いつ発生するか、そもそも発生するのかわからない
発生した場合の影響が大きい
基本的に「後ろ向き」な対策
高額な対策コストに対する見返りに乏しい
Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.39