DoS攻撃の手法と防御まとめ

/ .trash / Comment[2]
DoS(Denial of Service)攻撃の種類
・CPUやメモリなどのシステムリソースを過負荷状態、オーバーフロー状態にする
・大量のパケットを送りつけ、ネットワーク帯域をあふれさせる
・セキュリティホールを突いてダウンさせる

F5攻撃
ウェブブラウザにはF5キーにリロード機能が割り当てられており、F5を連打することによって、アクセスしているページへDoS攻撃をすることができる。
技術的に非常に低レベルなので、簡単にDoS攻撃に参加することが出来てしまう。
ただし、プロバイダが提供するサーバの機能によっては、リロードのアクセスは当該端末直近のアクセスポイントにキャッシュされたデータの読み出しに過ぎないことも多く、Webサーバ自体へのアクセス過多に至らないこともある。



SYN Flood攻撃
TCPの接続要求であるSYNパケットを大量に送りつけることでサービス提供を妨害するという手法。
攻撃者はターゲットホストでサービスを提供しているTCPポートに大使、発信元アドレスを偽装したSYNパケットを大量に送信する。
送信元が偽装されたSYNパケットを受け取ったターゲットは偽装された送信元にSYN/ACKパケットを返すが、送信元が架空のホストに偽装されているので接続を確立するACKパケットが帰ってくることはなく、次々に偽装SYNパケットばかりが送られてくる。
やがてリソースを使いつくし、ダウンさせるというもの。

対策
・SYN Floodプロテクション機能を持つファイアーウォールを導入する
・コネクション確立時の待ち時間を短くする
・ルータやスイッチによってSYNパケットの帯域制限を行う



UDP Flood攻撃
ターゲットのUDPポートに対してサイズが大きなパケットを送り続けてネットワーク帯域をあふれさせる手法。
ターゲットのUDPポートに対してサイズが小さいパケットを大量に送り続けてネットワーク機器などに負荷をかける手法。
UDPはコネクションレスであるため、発信元アドレスの偽装は容易である。

対策
・不要なUDPサービスを停止する
・不要なUDPサービスのアクセスをファイアウォールでフィルタリングする
・ルータやスイッチによってUDPパケットの制限をする



ICMP Flood攻撃
ターゲットホストにサイズの大きいICMP echo requestを大量に送り続けてシステムリソースやネットワーク帯域をあふれさせる手法。
ICMPはコネクションレスであるため、発信元のアドレスは偽装は容易である。

対策
・ICMPパケットを遮断する
・ルータやスイッチによってICMPパケットの帯域制限を行う



smurf攻撃
smurf攻撃とは発信元アドレスを偽装したICMP echo requestによってターゲットホストが接続されたネットワークの帯域をあふれさせる攻撃
ターゲットとなるホストIPアドレスを発信先アドレスに偽装した上で、踏み台のネットワークセグメントのブロードキャストアドレスあてにICMP echo requestを送りつける
ICMP echo requestを受け取ったネットワークセグメント上のホストは偽装された発信元アドレスへ一斉にICMP echo replyを返す。

対策
・ルータやファイアウォールでICMPパケットを遮断する
・スイッチによってICMPパケットの帯域制限する
・ブロードキャストアドレス宛のパケットを遮断する



Connection Flood攻撃
ターゲットホストのTCPポートに対して次々にコネクションを確立しつづけ、ソケットを占拠するという手法。
TCPでは発信元アドレスを偽装することはほぼ不可能であるが、Connection Flood攻撃ではターゲットホストに対して確実にダメージを与えることができる可能性が高い手法である。

対策
・ソケットオープン数やTCPキューの割り当て数を増やす
・同じアドレスからの同時接続数を制限する
・ファイアウォールで攻撃元アドレスからのパケットを遮断
・冗長構成にして、ロードバランサで負荷分散を図る



DDoS攻撃
Distributed Denial of Service(分散型サービス不能攻撃)とはあらかじめ仕掛けておいた攻撃プログラム(エージェント)から一斉にターゲットへDoS攻撃を仕掛けることでネットワーク帯域をあふれさせる手法

攻撃に用いられるエージェント
TFN
Trin00
stacheldraht

など

対策
・ソースアドレスが偽装されているパケットやブロードキャストアドレス宛のパケットをファイアーウォールで遮断
・ICMPパケットUDPパケットの遮断、帯域制限
・ネットワーク機器の処理能力の強化
・十分な帯域をもつネットワークを利用



DRDoS攻撃
Distributed Reflection Denial of Setvice(分散反射型サービス不能攻撃)とはTCP/IPプロトコルの様々な応答パケットを大量発生させてDoS攻撃を行う手法。
攻撃者はソースアドレスをターゲットIPアドレスに偽造したSYNパケットを攻撃に利用するホスト(Reflector)へ送る。
Reflectorは偽装されたソースアドレス(ターゲット)に一斉にSYN/ACKパケットを送る。
ReflectorはAKCパケットが帰ってくるまでSYN/ACKパケットを送りつづけるが、ターゲットはSYNパケットの発信者ではないためACKパケットを返さない。やがてリソースを食いつぶす。

DDoS攻撃はエージェントを仕掛けておく必要があるが、
DRDoS攻撃はパケットを送るだけなので仕掛けは必要ない。

対策
・サーバの負荷分散などを施し、十分な回線を確保する
関連記事

コメント

Re: 些細な訂正

誤字の報告有難うございます。修正しておきました。
誤字脱字が多いブログですので今後も見つけたら報告いただけたら助かります。

| URL | 長倉 怜二#-

些細な訂正

DRDoS攻撃のフルスペルがDDoSと同じです。
「Distributed Reflection Denial of Setvice」が正しいスペルかと。

| URL | Anonymous#-

:
:
:
:
:
管理人のみ表示を許可