1.15 DoS攻撃

DoSとは"Denial Of Service"のことで、提供するサービスを妨害したり、停止させるものを指します。

サービスを妨害する攻撃は以下の2種類に分けることができます。

1.15.1 DoS攻撃の種類

DoS攻撃は、特定の手法を指すものではありません。言葉の通りサービスの妨害や停止を行う攻撃全般を指す総称です。
それでは、どのような攻撃があるのでしょうか。

DoSの種類

種類

概要

mail bomb

巨大なメールや大量のメールを送りつけメールサーバのディスクやCPU資源、 ネットワークの帯域を潰す。

finger

fingerコマンドで引数の状態によって相手を停止させる。

SYN flood

プロトコルスタックを使用した攻撃の原型。
接続要求(SYN)の処理における仕様を突いたものです。
防御としてはSYN cookiesというものがあります。

Ping of Death

TCP/IP プロトコルスタックの実装のバグに対する攻撃。

ping flood

pingコマンドで引数の状態によって相手を停止させる。

OOB

ポート139に対しOut of Bandデータを送り相手を停止させる。

Land/Latierra

SYNパケットを送信し相手側を無限ループに陥らせる。

TearDrop/Bonk/Boink

フラグメントパケット処理の実装によって相手を停止させる。

Octopus

相手に対し多くのコネクションをターゲットサーバに張り運用ができないようにするもの。

SSPING/Jolt

ICMPパケットの仕様を利用したもの。

UDP Storm

echoサービスの問題点を利用したもの。

DoS攻撃の多くはOSやアプリケーションのバグによるものです。
よって、OSやアプリケーションに対してパッチの適用やバージョンアップなどによって、ほとんどの攻撃は回避できるようになります。
しかし、回避することが難しい攻撃や、新しい手法の登場によって、 管理者は常に現在どのような攻撃が行われているのかという状態を把握しておく必要があります。

1.15.2 DDoS

DoS攻撃は単体では行われなくなってきました。DoSに代わって行われ、強力な威力を持っている手法がDDoSです。
これは、"Distributed Denial Of Service"の略で、DoS攻撃を行うホストがネットワーク上に分散しているものです。
そして、DDoSは防御が難しい手法の一つです。

DoS攻撃の場合は、攻撃側と相手側の1対1で行われます。しかし、DDoSは攻撃側が複数存在し、1台のサーバを攻撃します。
たとえば、1,000台が1台のサーバを攻撃するのです。
DDoSの防御が難しい点は、この1,000台がどこにあるのか見当がつかない点なのです。そして、真の攻撃者を特定することは非常に難しいこととなります。

DDoSは、踏み台となるホストが必要となります。そのため、まずインターネット上にあるサーバに侵入し、DDoSのモジュールを埋め込みます。

DDoSの攻撃方法(1) 準備段階

DDoSの攻撃方法(1) 準備段階

特に、インターネット上でサービスを提供するサーバは、時刻の同期が行われていることが多いため、DDoSのモジュールに対し、何日の何時何分にどのホストを攻撃するのか設定を行っておきます。これによって設定した日時に指定されたホストを一斉に攻撃することができます。

DDoSの攻撃方法(2) 攻撃段階

DDoSの攻撃方法(2) 攻撃段階

DDoSの攻撃を受けた側は、1,000台、10,000台といった多くのホストから一斉に攻撃を受けるため、サービスやネットワークが停止することとなります。

やっかいなことはこれだけではありません。DDoS攻撃の原因と攻撃したホストを特定しようとしても、攻撃側が自ら行っているわけではなく、第三者のホストが行っているため、特定が非常に難しくなります。さらに、踏み台となったホストの管理者もDDoSのモジュールが埋め込まれ踏み台にされていることを気づかない場合もあることから攻撃側を特定しづらくなっています。


前へ ホームへ 次へ

    © 2002 Information-technology Promotion Agency, Japan. All rights reserved.