弊社には資格取得支援制度という制度があり、試験の費用の補助があります。
今年これを利用して、IPAの情報処理安全確保支援士試験を受験しました。
DoS/DDoS攻撃が思っていたより種類が多く、まとめるのがしんどかったんですが、「これ、カレンダーにしたらちょうど良いのでは?」と思い、今回シリーズとして書いてみることにしました。いくつかDoS攻撃以外も入っています。
Dos/DDoS攻撃とは
DoS攻撃(Denial of Service attack)とは、特定のサーバーやネットワーク機器に対して大量の通信を送りつけるなどして、正常なサービス提供を妨害する攻撃手法です。
情報セキュリティ3要素(CIA)のうち、可用性(Availability)を狙った攻撃になります。
正常なサービス提供が妨害される状況とは、身近な例でいえば「人気コンサートの予約開始と同時にアクセスが集中し、サーバが落ちてしまう」ようなイメージです。古からのF5アッタックも瞬間的に負荷を高め、サービスを利用できなくするのでこれに該当します。
DDoS攻撃(Distributed Denial of Service attack)は、DoS攻撃をボットなど複数の端末から行う攻撃手法です。
攻撃元が分散されるため、攻撃の検知や防御が難しくなります。
詳細は以下のWikipediaも参照ください。
TCP/IPモデルと攻撃
ここでは、TCP/IPモデル(OSI参照モデル)と本シリーズで扱う攻撃の対応関係をまとめます。
攻撃を理解するときに「どのレイヤーで起きているか」をセットで覚えておくと役立ちます。なぜなら、調査や対策を考えるときに上位レイヤについては関係は少ないからです。
例えば、DoS攻撃が原因でTCPコネクションが枯渇してサーバがダウンしている状態で、アプリケーションを修正しても問題が解決することはありません。そもそも通信がアプリケーションに辿り着いていないのですから。
攻撃とレイヤの対応を把握しておくことで、「どこを調査、対策すべきか」を素早く特定できるようになります。
| レイヤ番号 | TCP/IPモデル | OSIレイヤ | プロトコル | 対応する攻撃(今回シリーズで扱うもの) |
|---|---|---|---|---|
| 4 |
アプリケーション層 (Application) |
L7:アプリケーション L6:プレゼンテーション L5:セッション |
HTTP / HTTPS / DNS / SMTP / FTP / SSH / TLS / NTP / SNMP / SSDP / Memcached | ・HTTP GET/POST フラッド ・DNS反射/増幅攻撃(DNS Amplification) ・ランダムサブドメイン攻撃 ・NXDOMAIN攻撃 ・NTP / SNMP / SSDP / Chargen 増幅攻撃 ・Memcached 大型増幅攻撃 ・TLS/SSL ハンドシェイク枯渇 ・アプリ内部処理枯渇(DB / レポート生成) ・API/CDN 悪用(反射・増幅) |
| 3 |
トランスポート層 (Transport) |
L4:トランスポート層 | TCP / UDP | ・SYNフラッド(TCPハンドシェイク枯渇) ・ACK/FIN/PSH フラッド(TCPステート枯渇) ・UDP フラッド ・Port-based DoS(特定ポート狙い撃ち) |
| 2 |
インターネット層 (Internet) |
L3:ネットワーク層 | IP / ICMP / (ARPは厳密にはL2だがここで扱われがち) / BGP | ・IPフラグメンテーション攻撃(Teardrop) ・IPスプーフィング(送信元偽装) ・ICMP フラッド / Smurf攻撃 ・BGPハイジャック / 経路操作 ・ARPフラッド / ARPスプーフィング(L2寄り) |
| 1 |
ネットワークインターフェース層 (Network Access / Link) |
L2:データリンク層 L1:物理層 |
Ethernet / Wi-Fi / PPP | ・MACフラッディング / MACテーブル枯渇 / MACスプーフィング ・テンペスト攻撃 / サイドチャネル攻撃 ・回線切断 / 物理ジャミング |
DNSはアプリケーション層のプロトコルですが、実際の攻撃ではL3、L4にも深く関わり、これらを狙った攻撃の踏み台として利用されることも多いため、別枠にまとめます。
IPAの試験でもDNSへの攻撃手法と防御については入門試験の情報セキュリティマネジメント試験でも出題されるほど重要視されているようです。
見切り発車で、扱う内容は未定です
シリーズ一覧
- TCP/IPモデルとDoS攻撃(この記事)
- 物理的な妨害攻撃
- 物理的な盗聴攻撃
- MACフラッディング / MACテーブル枯渇 / MACアドレススプーフィング
- ARPフラッド / ARPスプーフィング
6 - 25. TBA
DNSはアプリケーション層のプロトコルですが、実際の攻撃ではL3、L4にも深く関わり、これらを狙った攻撃の踏み台として利用されることも多いため、別枠として以下にまとめます。
IPAの試験でもDNSへの攻撃手法と防御については入門試験の情報セキュリティマネジメント試験でも出題されるほど重要視されているようです。
情報処理安全確保支援士の学習資料
ここではシリーズとは関係ありませんが、試験対策に利用したサイトと本を紹介していきます。まだ合否は出ていないので、役に立ったかはわかりませんが。
サイト
ネットワークスペシャリストを取ったときもこの型の本で学習したので、お馴染みかつ信頼あります。後述の「1冊目の教科書」と合わせれば試験に必要な基礎知識はほぼ手に入れられるかと。
過去問をやるなら有名なサイト。午前対策に利用しました。午前1も受験する必要があったので、応用情報もいくつか解きました。
午前1は、その回の応用情報の午前問題80問から30問が選ばれて出題されます。直近2回分の問題からは再出題されることは無いのでその確認に。
今後CBT方式になるので、直近の問題が分からなくなってしまうのですがね。
本
この本は、情報処理安全確保支援士よりもう少し前段階ですが、わかりやすさ優先かつ、そもそもセキュリティ技術で何したいんだ?という原点の確認に。
この本は表紙にある通り、1冊目として図も多く感覚的にわかりやすいので一般教養がてら読んでもいいと思いました。Kindle Unlimitedにあったので、またなった時にDLしとくといいと思います。
Kindle Unlimitedから外れても利用中のものは「利用を終了」しない限り読めるようです。
午後対策の過去問解説本です。午後対策には文章や問題の傾向を知るためにも過去問をやるのがよく。問題文の解説や、見方から回答の考え方まで丁寧に書かれています。
こちらも午後対策に、表紙にある通り、問題でこう訊かれたら「こう書く!」が載っています。まだ午後問題では無いですが、午前問題に増えてきたAI分野も結構ページが割かれていました。
以上、利用したものです。
sの他↓とか有名なものがありますが分厚かったので避けました。
Kindle Unlimitedに過去問集とかもあるので、見てみるといいかもしれません。
業務や学習の効率アップに速読を身につけるのもおすすめです。