 |
DoSとは"Denial Of Service"のことで提供するサービスの妨害や停止させるものを指します。
サービスを妨害する攻撃は以下の2種類に分けることができます。
DoS攻撃は、特定の手法を指すものではありません。
言葉の通りサービスの妨害や停止を行う攻撃全般を指す総称です。
それでは、どのような攻撃があるのでしょうか。
| 種類 |
概要 |
|---|---|
| mail bomb |
巨大なメールや大量のメールを送りつけメールサーバのディスクやCPU資源、
ネットワークの帯域を潰す |
| finger |
fingreコマンドで引数の状態によって相手を停止させる。 |
| SYN flood |
プロトコルスタックを使用した攻撃の原型。 接続要求(SYN)の処理における仕様を突いたものです。 防御としてはSYN cookiesというものがあります。 |
| Ping of Death |
TCP/IP プロトコルスタックの実装のバグに対する攻撃。 |
| ping flood |
pingコマンドで引数の状態によって相手を停止させる。 |
| OOB |
ポート139に対しOut of Bandデータを送り相手を停止させる。 |
| Land/Latierra |
SYNパケットを送信し相手側を無限ループに陥らせる。 |
| TearDrop/Bonk/Boink |
フラグメントパケット処理の実装によって相手を停止させる。 |
| Octopus |
相手に対し多くのコネクションをターゲットサーバに張り運用ができないようにするもの。 |
| SSPING/Jolt |
ICMPパケットの仕様を利用したもの。 |
| UDP Storm |
echoサービスの問題点を利用したもの。 |
DoS攻撃の多くはOSやアプリケーションのバグによるものです。
よって、OSやアプリケーションに対してパッチの適用やバージョンアップなどによって、ほとんどの攻撃は回避できるようになります。
しかし、回避することが難しい攻撃や、新しい手法の登場によって、
管理者は常に現在どのような攻撃が行われているのかという状態を把握しておく必要があります。
|
|
DoS攻撃は単体では行われなくなってきました。
DoSに代わって行われ、強力な威力を持っている手法がDDoSです。
これは、"Distributed Denial Of Service"の略で、DoS攻撃を行うホストがネットワーク上に分散しているものです。
そして、DDoSは防御を難しい手法の一つです。
DoS攻撃の場合は、攻撃側と相手側の1対1で行われます。
しかし、DDoSは攻撃側が複数存在し、1台のサーバを攻撃します。
たとえば、1,000台が1台のサーバを攻撃するのです。
DDoSの防御が難しい点は、この1,000台がどこにあるのか見当がつかない点なのです。
そして、真の攻撃者を特定することは非常に難しいこととなります。
DDoSは、踏み台となるホストが必要となります。
そのため、まずインターネット上にあるサーバに侵入し、DDoSのモジュールを埋め込みます。
 |
特に、インターネット上でサービスを提供するサーバは、時刻の同期が行われていることが多いため、DDoSのモジュールに対し、何日の何時何分にどのホストを攻撃するのか設定を行っておきます。
これによって設定した日時に指定されたホストを一斉に攻撃することができます。
 |
DDoSの攻撃を受けた側は、1,000台、10,000台といった多くのホストから一斉に攻撃を受けるため、サービスやネットワークが停止することとなります。
やっかいなことはこれだけではありません。
DDoS攻撃の原因と攻撃したホストを特定しようとしても、
攻撃側が自ら行っているわけではなく、第三者のホストが行っているため、
特定が非常に難しくなります。
さらに、踏み台となったホストの管理者もDDoSのモジュールが埋め込まれ踏み台にされていることを気づかない場合もあることから攻撃側を特定しづらくなっています。
Copyright(C) 2001 Information-technology Promotion Agency, Japan. All rights reserved.