IPA/ISEC

最終更新日:2001年 5月 8日


DDoS攻撃に関する情報

2001年 2月23日

情報処理振興事業協会
セキュリティセンター

2001年 2月16日前後より、特定のグループによるものと考えられる一連の Webサイト改ざんインシデント(事件)が発生しています。この一連の攻撃を行っているグループが日本のサイトに対する DoS攻撃(またはDDoS攻撃)を行う旨の予告声明を出しているとの情報がありました。予告声明の中で示されていた日付(2001年2月23日)は、既に過ぎています。しかしながら、今後とも DoS攻撃(またはDDoS攻撃)への備えのため、下記の内容をご確認ください。

以下に説明する DoS攻撃においては、他人の IP アドレスが利用されることが多く、また DDoS攻撃においては、他人のコンピュータを利用することが多くあります。

各サイトのシステム管理者においては、DDoS 攻撃の加害者にならないように、自らのサイトのホストに、DDoS攻撃プログラムが仕掛けられていないことを確認してください。

DoS攻撃を各サイトが予防することは困難です。むしろ自らが加害者にならないようにする必要があります。


DDoS 攻撃対策

1. 短期的対策(DDoS 攻撃のリスクと影響を軽減する方策)

1.1. 攻撃における発信元 IP アドレスがスプーフされている問題についての対策

ネットワーク経由の DoS 攻撃における発信元 IP アドレスがスプーフされていること(すなわち偽ったアドレスであること)によって、攻撃元を特定するのが困難になる問題があります。攻撃者が発信元 IP アドレスを偽ることができないようにすることができたとしても、ネットワーク経由の DoS 攻撃自体を防ぐことはできませんが、攻撃元を特定しやすくなります。

対策: 攻撃者が発信元 IP アドレスを偽ることを難しくする手法には、ISP において、いわゆる「イングレスフィルタリング(境界フィルタリング)」を実装することがあります。これは、各 ISP から他の ISP からと偽ったパケットが流出したり、他の ISP から、自らの IP アドレスからと偽ったパケットが流入することを防ぐフィルタをすべての ISP が実装すれば、インターネット上で攻撃者が発信元 IP アドレスを偽ることを難しくなる、というものです。

参考文献
RFC 2827 ネットワーク境界でのフィルタリング:IP ソース アドレスを偽ったサービス妨害攻撃をくじく
(Network Ingress Filtering)

1.2. ブロードキャストの悪用問題

典型的な DoS 攻撃である Smarf においては、特定の IP アドレス宛てにパケットを送りつけることによって、そのネットワーク内にブロードキャストを誘発することを悪用します。このような攻撃は DDoS においては、上記の IP アドレススプーフ問題を併用して、インターネット越しに存在する他のサイトを標的として行われる可能性があります。

対策: 各サイトにあるルーターが、いたずらにブロードキャストしないよう、その設定を見直す必要があります。

参考文献
RFC 2644 ルーターにおいてダイレクトされたブロードキャストのデフォルトを変更する
( Changing the Default for Directed Broadcasts in Routers )

1.3. トロイの木馬プログラムがインストールされる問題

DDoS 攻撃においては、自らのサイトに DoS 攻撃を行うトロイの木馬プログラムがインストールされ、それが遠隔操作によって攻撃を行う可能性があります。すなわち、そのようなトロイの木馬プログラムがインストールされていると、攻撃の加害者になってしまう可能性があるのです。

対策: 自らのサイトのコンピュータ(特にサーバー)に、意識的にインストールしたソフトウェア以外のソフトウェアがインストールされていないことを検証し、インストールされないようにしなければなりません。 意識的にインストールしたソフトウェア以外のソフトウェアがインストールされていないことを検証するためには、本来あるべきシステム管理状態を把握しており、その状態からの差異を識別できるように日ごろから管理している必要があります。このような日常的な管理を支援するツールが、一般に入手可能です。 既知のトロイの木馬プログラムについて、特定のプラットフォーム上で検出するためには、市販のコンピュータウイルス対策ソフトウェアでスキャンすることが有効である場合があります。

1.4. Windows NT/2000 におけるDoS対策

Windows NT/2000 のレジストリ設定等を変更することで、DoS攻撃に対する対処能力を向上させることができます。

対策: マイクロソフト社より 「ネットワーク上の攻撃に対するセキュリティの考察」が公表されており、本対策を講じることでDoS攻撃に対する対処能力の向上が期待できます。これに限らず、ベンダ等が公表している対策情報に基づき設定を行うことで、DoS攻撃、ひいてはDDoS攻撃の被害を軽減できる可能性があります。

2. 中長期的対策

2.1. 技術的対策

インターネット上におけるパケットの混雑を検知し、負荷分散処理する技術の研究が進められています。

2.2. インターネット社会における対策

DDoS 攻撃などのインシデントが発生した場合、当該インシデントについて適切に情報を共有することができるようにする努力が必要です。 また、平時より情報セキュリティを確保するための情報を提供できるよう、IPA セキュリティセンターは努力してまいります。


FAQ

Q. DoS(Denial of Service:サービス妨害)攻撃とは、どのような攻撃ですか?

A.DoS攻撃とは、コンピュータによって提供されるサービスを妨害する攻撃のことです。

特に、インターネットサーバーによって提供されているサービス(WWW、FTP、DNS、SMTP による Mail 等)を標的として妨害する攻撃が、一般に入手可能なツールを利用して行われています。このような DoS攻撃には、大きく2つの種類があります。:

具体的には、下記のように様々な手法があります。:

SYN flood
プロトコルスタックレベル。クラッカは SYN パケット(接続要求)を連続して送信し、標的となったサーバーはその接続処理のために、資源を使い果たす。
Ping of Death
プロトコルスタックレベル。プロトコルスタックの実装バグへの攻撃。65536 byte 以上の規格外の ping のことであり、この pingで多くの種類のシステムがダウンする。
e-mail bombing
アプリケーションレベル。処理できるキャパシティを超えたメールを送りつけて、メールサーバーの資源を消費させる。
WinNuke attack
標的サーバーが Windows 9x の場合、NETBIOS(TCP Port 139)に OOB (Out of Bounds) のデータを送ってダウンさせる。
finger attack
finger サービスにコマンド「finger username@@@...@@@標的host」を送りつける。@ が多いほど、効果が大きい。
ICMP flooding attack, UDP flooding attack
ICMP flooding は、IP サブネット・ブロードキャスト複製機能を巧妙に利用したもの。UDP flooding は、UDP サービスに接続する偽装パケットを使い,別のサイトに UDP サービスのエコーを投げ付けさせようとするもの。
"land"/"latierra" attack
乗っ取った SYN パケットを識別可能な 送信元/送信先アドレス/ポートとともに送信します。そうすることで、システムはTCP接続を完了しようとして無限ループに陥る。

Q. DDoS( Distributed Denial of Service:分散サービス妨害)攻撃とは、どのような攻撃ですか?

A. DoS攻撃には、インターネットプロトコルの特性を攻略して、ネットワークに接続されたコンピュータに過剰な負荷をかけて、サービスを提供することをできなくしてしまう種類の攻撃があります。このようなDoS攻撃の攻撃元が複数で、標的とされたコンピュータがひとつであった場合、その標的とされるコンピュータにかけられる負荷は、より大きなものになります。このような攻撃が DDoS( Distributed Denial of Service:分散サービス妨害)攻撃と呼ばれています。

攻撃元は、攻撃者自身であるとは限りません。むしろ、攻撃者が事前に標的以外の複数サイトに、攻撃プログラムを仕掛けておいて、遠隔から攻撃を仕掛ける操作を行うことをきっかけとして一斉に DoS攻撃をしかける手法が知られています。

問い合わせ先:
IPA(情報処理振興事業協会) セキュリティセンター
e-mail: isec-info@ipa.go.jp


            Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.