DDoS攻撃についてcyber.niigata.jp/pdf/attack/08_1.pdfDDoS攻撃について 2016年3月1日株式会社グローバルネットコア金子康行

DDoS攻撃について

2016年3月1日

株式会社グローバルネットコア

金子康行<[email protected]>

目次

DDoS攻撃とは

DDoS攻撃が成立する背景

DDoS攻撃の目的

DDoS攻撃の状況

DDoS攻撃の防御手法

私たちはどうすればいいのか

Written by Yasuyuki Kaneko / Copyright (c) 2016 Global Network Core Co.,Ltd.2

DDoS攻撃とは

サービス不能攻撃

大量のアクセスによりサーバを過負荷状態にする

大量のパケットによりネットワーク帯域をあふれさせる

セキュリティホールを突きシステムをダウンさせる


Denial of Service Attack

DDoS攻撃とは

DoSF5攻撃

SYN Flood攻撃

UDP Flood攻撃

ICMP Flood攻撃

Connection Flood攻撃

DDoS (Distributed DoS)Botnet等を利用し、多数の攻撃元から協調分散的に攻撃

DRDoS (Distributed Reflective DoS)UDP-Based Amplification攻撃 (NTP、DNS、SSDPなど）


DDoS攻撃とは


DoS Attack!!

DDoS攻撃とは


DDoS Attack!!

DDoS攻撃とは


DRDoS Attack!!

DDoS攻撃が成立する背景

Botnetウイルス感染端末

オープンリゾルバ

脆弱なブロードバンドルータ

アドレス詐称に寛容なネットワーク

容易に「増幅」が可能なプロトコル仕様


Botnetウイルス感染端末

悪意を持ったプログラムを秘密裏にインストール（感染）

感染PCに遠隔から指令を出し、攻撃を行う


C＆Cサーバ（Command and Control）

ゾンビコンピュータ

攻撃対象

攻撃者

マルウェア感染（トロイの木馬）

攻撃指令

オープンリゾルバ

不特定端末からの問い合わせを受け付けるDNSキャッシュサーバ

詐称されたIPアドレスからの問い合わせに応答することで、DNS Amp攻撃の踏み台に


オープンリゾルバ（利用者を制限していない）攻撃対象

攻撃者

攻撃対象が利用しているIPアドレスを詐称して通信

大きな応答が返る問い合わせ多数を行うことで、反射増幅攻撃を実現



ファームウェアにセキュリティホールが存在する状態で大量に出荷・販売

具体的には、オープンリゾルバなど反射増幅攻撃に利用可能、インターネット側から管理画面にアクセス可能でID/パスワード情報が盗まれる、など

すべての機器でファームウェアの更新が適切に更新されるのは困難



アドレス詐称に寛容なネットワーク

ISPがすべての通信に対して送信元IPアドレスの検証を行っていれば、アドレスを詐称した通信は遮断できる

実際には必ずしも対策が徹底されていないのが実情


送信元アドレス検証

詐称したIPアドレスから通信

正規のIPアドレスから通信

容易に「増幅」が可能なプロトコル仕様

小さな問い合わせで大きな応答を得ることが可能な特性を利用し、反射増幅攻撃を仕掛ける

UDPはコネクションレスなため、IPアドレスを詐称しやすい

増幅率が高く、「踏み台」として利用出来るホストが見つけやすいプロトコルが危険


UDP-Based Amplification Attacks


Christian Rossow “Amplification Hell: Revisiting Network Protocols for DDoS Abuse”

DDoS攻撃の目的

嫌がらせ、愉快犯

私怨

金銭目的

政治的主張

国家間紛争


NORSE


http://map.norsecorp.com/

NICTOR


http://www.nicter.jp/nw_public/scripts/atlas.php

Digital Attack Map


http://www.digitalattackmap.com/

最近の主なDDoS攻撃

Anonymous2016年1月31日財務省、金融庁2016年1月27日警察庁、中部国際空港2016年1月25日厚生労働省2016年1月22日成田空港2016年1月18日金融庁2016年1月12日日産自動車2015年11月10日日本経済新聞社

DD4BC2015年6月25日セブン銀行2015年5月22日 FXプライムbyGMO

DNS2015年12月14日 ASAHIネット2015年2月3日 VALUE DOMAIN、DTI2015年2月1日 eo光


DNS Amplification Attack


http://www.atmarkit.co.jp/ait/articles/1303/28/news139.html

DD4BC


http://www.sankei.com/affairs/news/160113/afr1601130033-n1.html

Anonymous

http://itpro.nikkeibp.co.jp/atcl/news/16/011300089/


http://itpro.nikkeibp.co.jp/atcl/news/16/011300089/

Anonymous


DDoS for hire services

「DDoS攻撃請負サービス」が多数存在

多くはBooter、Stresserなどと称する

「子供のお小遣い」程度の金額で手軽に買えてしまう










DDoS攻撃の防御手法

十分な回線容量の確保

フィルタリング（ブロック）

ミティゲーション（緩和）

CDN等によるサーバ分散


十分な回線容量の確保

攻撃による流量を上回るキャパシティがあれば、そもそもDoS（＝サービス停止）は成立しない

エンドユーザ側の回線容量増加は限界がある

ホスティング事業者、データセンター授業者、ISP事業者のキャパシティは？


フィルタリング（ブロック）

攻撃を検知し、該当通信をフィルタ（ブロック）する

フィルタ以前に、回線を埋め尽くす流量があれば無意味

フィルタを行うためには、攻撃の発生検知と、フィルタ適用条件（攻撃元、攻撃先、プロトコル等）の把握が必要

フィルタの範囲に通常の通信も含まれる場合、事実上DoS（サービス停止）が成立してしまう


ミティゲーション（緩和）

専用の緩和装置（ミティゲーションデバイス）により、攻撃とみなされる異常通信のみフィルタし、正常通信は通過させる

緩和装置の処理能力を超える流量があれば無意味

緩和機器の個別導入は投資・運用両面で敷居が高い

ISPでのサービス化も進んでいるが、料金はまだ安くない


CDN等によるサーバ分散

CDN = Contents Delivery Network多数のサーバにデータを分散配置し、大量のリクエストに対応するための仕組み

攻撃対象がCDNで分散しているので、攻撃も分散して薄まり、DoS（サービス停止）に追い込まれない

分散には分散で対応


DDoS攻撃防御サービスの例


http://www.ntt.com/release/monthNEWS/detail/20151001_3b.html



http://www.kddi.com/business/security-managed/security/ddos/



http://www.iij.ad.jp/biz/ddos/



http://www.bbtower.co.jp/ir/pr/2014/0825_000736/

DDoS攻撃対策のつらさ

一方的な被害、迷惑

いつ発生するか、そもそも発生するのかわからない

発生した場合の影響が大きい

基本的に「後ろ向き」な対策

高額な対策コストに対する見返りに乏しい


私たちはどうしたらいいのか？

安全・安心

ガバナンス

オープンネス

テクノロジーオリエンテッド

イノベーション


Documents

DDoS攻撃についてcyber.niigata.jp/pdf/attack/08_1.pdfDDoS攻撃について 2016年3月1日 株式会社グローバルネットコア 金子康行

DDoS攻撃についてcyber.niigata.jp/pdf/attack/08_1.pdfDDoS攻撃について 2016年3月1日株式会社グローバルネットコア金子康行