LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@okonogiret

情報セキュリティ白書2019を読み解く:DDoS攻撃

Last updated at Posted at 2019-09-03

引用元:
https://www.ipa.go.jp/security/publications/hakusyo/2019.html

DDoS攻撃

DDoS(Distributed Denial of Service)攻撃

Web サーバ等の攻撃対象に対して多数の端末からデータを送信することで、
攻撃対象のリソースに負荷をかけ、サービス運用を妨害する攻撃を指す。

事例

(a)オンラインゲームの運営サーバに対するDDoS 攻撃

手口を変えながら断続的に攻撃。(マルチベクトル型攻撃)

(b)DDoS 攻撃代行サービスサイトの摘発

表向きは登録ユーザの所有、運用するサーバに対して負
荷テストを行うサービスを装っているが、実際には第三
者が運用するサーバへのDDoS 攻撃に用いられている。

2018 年4 月には欧州刑事警察機構(Europol)が
「Operation Power Off」と呼ばれる作戦を展開し、世
界最大規模のDDoS 攻撃サービス「Webstresser」を
摘発し、管理者とされる人物を逮捕した。

DDoS 攻撃の手口

DDoS 攻撃では、攻撃対象のリソースに負荷をかける
ことができれば、そのサービス運用を妨害できる。

(a)ボットネット、IoT ボットを用いる手口

ボット・・・脆弱性の悪用やウイルス感染によって、攻撃者に制
御を奪われたインターネット上の端末。

攻撃者がボットへ命令を送るためのC&Cサーバと、複数のボットで
構成される、いわゆる「ボットネット」と呼ばれるネットワーク
がDDoS 攻撃に悪用される。

IoT 機器のボット化(IoT ボット)を狙った攻撃が確認されており
増加傾向となっている。

Mirai・・・工場出荷時の初期設定のままのネットワーク機器やIoT
機器を狙うウイルス

(b)リフレクター攻撃

送信元IP アドレスを攻撃対象のIP アドレスに偽装したパケットを、
不特定多数の正規のサーバに対して送信することで、それらのサーバ
からの応答パケットが攻撃対象の端末へ送信されることを悪用
した攻撃。

SYN/ACKリフレクション攻撃
TCP の80 番ポートを開放していることを悪用した攻撃。
送信元を偽装したSYNパケットをこれらのサーバ群に送信し、応答の
SYN/ACK パケットを攻撃対象の端末に送信させ、処理負荷を生じさせる。
攻撃に悪用されるサーバ群は、正規の目的でTCP の80 番ポート
を開放しているため、アクセス制御やポート閉塞等による対策が困難。
また、送信元を偽装したSYN パケットの送信状況等によっては、攻撃対象
の端末からSYNフラッド攻撃を受けているようにも見える。

対策:
ISP 事業者と連携したり、不審なSYN パケットあるいはSYN/ACK パケット
の送信元IP アドレス情報を基に、悪用されているサーバの運営者と攻撃対象
サーバの運営者が連絡を取り合う。

マルチベクトル型攻撃
 様々な手口を併用して攻撃しつつ、攻撃効果や状況に応じて、
 有効な手口に絞った攻撃に切り替える攻撃方法。

DDoS 攻撃への対策

(a)DDoS 攻撃の被害に遭った場合の対策

DDoS 攻撃によって送られてくる通信データを遮断する。
正常なアクセスとDDoS 攻撃によるアクセスを、いかにして切り分けるかが
ポイント。

・アクセスログや通信ログ等を確認し、攻撃が特定の
 IP アドレスから行われていると判断できる場合は、当
 該IP アドレスからのアクセスを遮断する。

・国内からのアクセスを主に想定しているサイトでは、海
 外のIP アドレスからのアクセスを一時的に遮断するこ
 とも検討する。

・攻撃者が攻撃元のIP アドレスや攻撃方法を定期的
 に変更してくる場合があるため、継続して監視を行い、
 攻撃方法に合わせた対策を実施する。

・組織内で対処できない程大規模な攻撃や執拗な攻撃
 を受けている場合は、ISPとの連携や警察等への通
 報を実施する。

・DDoS 対策製品やISP 事業者が提供するDDoS対策サービス
 の利用を検討する。

(b)攻撃に加担しないための対策

・OS やファームウェアを最新の状態に保ち、脆弱性を
 突いて感染するウイルスを防ぐ。

・パスワードが初期設定のままの機器が存在しないか確
 認し、存在した場合は適切なパスワードを設定する。
 インターネットに直接つながっていない端末においても
 同様の対策が必要。
 →「Mirai」対策

・組織内のDNS、NTP、memcached 等のDDoS 攻撃に
 悪用されることの多いサービスが動作するサーバに関
 して、各サービスが脆弱性を含むバージョンで稼働して
 いないことを確認する。それらのサービスが意図せず
 インターネット上に公開していないことやDDoS 攻撃に
 悪用され得る設定になっていないことを確認する。

・組織内の端末の外向けの通信を監視し、異常な通信
 を確認した場合等は、組織内の端末が攻撃の踏み台
 となっている可能性があると判断し、ウイルス感染等
 が生じていないか調査、対処を行う。

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?