DoS攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

DoS攻撃(ドスこうげき)(英:Denial of Service attack)は、コンピューティングにおいてサーバなどのコンピュータネットワークリソース(資源)がサービスを提供できない状態にする意図的な行為をいう。サービス妨害攻撃と訳される[1]

サーバなどのコンピュータ機器にある脆弱性を攻略するものと、サーバの処理能力やネットワーク帯域に対して過剰な負荷をかけるものがある。

複数のコンピュータを攻撃側に巻き込む類型としてDDoS攻撃(ディードスこうげき)(英:Distributed Denial of Service attack)がある。

症状[編集]

ネットワーク上のトラフィック(通信量)の増大によって異常に遅くなったり、特定のサーバにアクセスできなくなったり、あらゆるサイトにアクセスできなくなったりする[2]

攻撃技法[編集]

ICMP関連[編集]

  • Pingフラッド攻撃:標的に対して(送信元アドレスを偽装して)ICMP echo requestを大量に送り続ける。
  • Ping of death:かつて在った脆弱性で、規格外の大きなサイズのICMPパケットを正常に処理できないシステムが攻略された。
  • Smurf攻撃:攻撃者自身とは別のネットワークのブロードキャストアドレスのしくみを利用して、そのネットワークから大量のICMP echo replyが標的に向かうようにする。

SYNフラッド[編集]

TCPの3ウェイ・ハンドシェイクが完結しない状態をもたらす[3]

TeardropおよびLand[編集]

かつてTCP/IP実装にあった脆弱性[4]を攻略された。

UDPフラッド[編集]

UDPフラッド(UDP flooding)は、UDPベースのインターネットプロトコルを選択して大量のトラフィックを送信する攻撃であり、後述する反射攻撃のベースとなっている。

WinNuke[編集]

かつてMicrosoft Windowsの「NetBIOS over TCP/IP」に在った脆弱性が攻略された。

ブラウザの再読み込み[編集]

ウェブブラウザに備わっているページの再読み込み機能を使用し、Webサーバに大量にリクエストを送りつける攻撃はF5アタックF5攻撃)と呼ばれることがある。この名称は、「F5キーを連打する攻撃」であることに由来する。Windows上で動作するウェブブラウザでは、F5キーが更新機能に割り当てられていることが多いため、F5キーを押下するたびにWebサーバにリクエストが送られることになる。

HTTP GET/POSTフラッド[編集]

HTTPの規格には準拠しているが負荷のかかるリクエストを大量にWebサーバ宛てに送る。

スローなHTTP系[編集]

長時間にわたってWebサーバがコネクションを維持してくれることを悪用して能力を浪費する[5]。次の攻撃がある[6]

  • Slow HTTP Headers(Slowloris
  • Slow HTTP POST(RUDY:R-U-Dead-Yet?)
  • Slow Read DoS

DDoS攻撃[編集]

図:StacheldrahtによるDDoS攻撃

DDoS攻撃(ディードスこうげき)(英:Distributed Denial of Service attack)は、複数のIPアドレスから放たれるDoS攻撃であり、分散型サービス妨害攻撃と訳される。

複数のコンピュータを攻撃側に巻き込み、エージェントを操って一斉攻撃するものと、ルータやサーバに反射させて集中砲火するものがあり、両者が組み合わされることもある[7]

エージェントを操って一斉攻撃[編集]

エージェントプログラムをインストールされた多数の踏み台ゾンビコンピュータが操られて、標的とされたサーバなどに対して一斉に攻撃を行う[8]。 一種の協調分散システムによる攻撃と見なして、協調分散型DoS攻撃と呼ばれることがある。

単一のホスト(通信相手)からの攻撃ならばそのホストとの特定の通信に対処すればよいが、数千、数万のホストからでは個々に対応することが難しい。 したがって、通常のDoS攻撃よりも防御が困難になる。 標的からは踏み台(エージェント)となったコンピュータが攻撃者と認識されてしまう。

このような踏み台(エージェント)となるゾンビコンピュータは、古くは攻撃用のエージェントプログラムを組み込まれたコンピュータであり、不正アクセスによってシステムを改竄されたものが利用されていたが、2000年頃からは、トロイの木馬に代表されるコンピュータウイルス等に汚染されたパーソナルコンピュータや、各種のマルウェアに汚染された家庭内や企業内のパソコンが悪用されるケースが増加した。2008年頃からはボットネットが使われるようになった。

反射させて集中砲火[編集]

応答先のIPアドレスを標的宛てとするリクエストコマンドを大量のコンピュータ宛てに送信する反射攻撃(Reflection attack)は、分散反射型DoS攻撃DRDoS attack:Distributed Reflective Denial of Service attack)と呼ばれることもある[9]。 ちなみに上述のSmurf攻撃も、このような反射攻撃の構図になる。 Smurf攻撃以外の反射攻撃においては、上述のSYNフラッドやUDPフラッドが使われうる。

反射攻撃においては、同時に帯域に対する増幅(アンプ:amplification)効果も狙ったUDPプロトコルが選択されることがある。 この増幅効果は、小さなコマンド(リクエスト)に対して大きな応答を返すプロトコルから得られる。 この種のUDPプロトコルを用いる攻撃を特にUDPベース増幅攻撃(UDP-Based Amplification Attack)と呼ぶことがあり、典型的には、NTP[10]SSDPRIPv1を利用する攻撃がある[11][12]。 NetBIOSネームサーバやRPCポートマップなどへのリクエストを利用する攻撃も観測されてる[13]

攻撃ツール[編集]

  • 荒らしプログラムとは、主にWeb掲示板を荒らすために作られたプログラムを指すが、内容としてはHTMLの解析やHTMLFORMの送信機能を備え、連続投稿を可能としたHTTPクライアントで、DoS攻撃プログラムに準じている。F5アタックWebブラウザからのGETメソッドによるhttpアクセスしか出来ないのに対し荒らしプログラムは様々なメソッドにおいてのアクセスを可能としている。また前述したDDoSに準じ、踏み台となったサーバからの一斉攻撃を行うものもある。少しHTMLの知識があれば使える物や、アドレスを入力するだけで使えるようになる(自動解析)ツールも存在する。主にPerlによって記述されるが、これも踏み台とされたサーバでの利便性を考えたものである。
  • Slowlorisは、Slow HTTP Headers攻撃を再現する。
  • Stacheldraht(独:「有刺鉄線」の意)は図に示すように、踏み台側のエージェントと、エージェントを操るハンドラーと、攻撃者がハンドラーを操るクライアントから成るDDoS攻撃ツールである。
  • イギリスのGCHQは、`PREDATORS FACE'と`ROLLING THUNDER'というDDoS攻撃ツールをもっている[14]といわれている。

防御技法[編集]

各サイトにおける防御技法[編集]

  • 侵入防止システム(IPS: Intrusion Prevention System)には、シグニチャに基づく防御機能と閾値に基づく防御機能が実装されている。シグネチャに基づく防御機能は、Smarf攻撃やLand攻撃のように特徴あるパケットに対して有効であったが、プロトコル実装側の脆弱性もすでに解消されている。
  • SYNクッキーは、SYNフラッド等への対策として各OSごとに開発され、それぞれのプロトコルスタックに実装されている。
  • WAF(Web Application Firewall)には、スローなHTTP系の攻撃に対する設定を行える。WebサーバについてはQoSタイムアウトについての設定も見直す価値がある。

インターネットサービスプロバイダにおける防御技法[編集]

  • イングレスフィルタリング:送信元IPアドレスを偽ったパケットをフィルタリングすることによって攻撃元とならないようにする。[15]

事件[編集]

MafiaBoy
2000年2月にカナダ人の15才の少年が6日間にわたってボットネットYahoo!CNNAmazon.comなどの人気が非常に高いサイトに対してDDoS攻撃を行い、ターゲットにしたサイトをサービス不能状態に陥らせ、自身の行動をインターネット上のIRCチャットルームで吹聴し、逮捕された。この事件は国際的に大きく取り上げられた。
米国 Yahoo!
パソコンを利用した踏み台は、一台当たりの計算・通信能力は低いが、膨大な数が利用される事から、従来のサーバを利用したDDoS攻撃よりも甚大な被害を発生させやすい。有名なものとして2002年2月に米国Yahoo!がこの攻撃を受け、アクセス不能になるという被害を受けている。また特に大規模な感染事件を引き起こすコンピュータウイルスのなかには、当初よりDDoS攻撃を意図して設計されたと推察されるものも見られ、2002年頃から活動が確認されているコンピュータウイルスによって形成された攻撃用パソコンネットワークにより、企業脅迫事件の発生が危惧されている。
コスタリカ ブックメーカー等
2004年前後には、ブックメーカー(公的な賭けを取りまとめている企業・団体等)のサイトが攻撃をうけ業務を妨害され、脅迫された事件[17]や、英国の大学生が学費の捻出に一案を講じて莫大な利益を生んだMillion Dollar Home Page脅迫を受けたケースも報じられている。
ニコニコ動画(β)
2007年2月20日にDDoSによる攻撃を受け、正常に運営できる状態でなくなってしまい、同年2月24日に一時的にサービスを停止する事態となった[18]
2ちゃんねる
同掲示板サイトは度々DoS攻撃の標的にされており、中でも大規模なものが2010年3月、バンクーバーオリンピックの時期に起きている。韓国語ネットコミュニティ「ネイバー」や「ダウム」上から2ちゃんねるに対して攻撃が呼びかけられ、これにより一部のサーバーがダウンの後故障し、データが失われ、多大なる損害を出し、FBIが最終的に動く結果となった。
岡崎市立中央図書館事件
DoS攻撃とは到底呼べないような通常の「常識的」で「礼儀正しい」設計のクローラが原因であっても、極端に脆弱なシステムにおいては問題を引き起こす場合がある。2010年5月のこの事件はその代表的な例であり、三菱電機インフォメーションシステムズの致命的な不具合をもつシステム、その不具合を認めない岡崎市立中央図書館、警察担当者の無知および自白の強要が重なり、逮捕勾留に至る[19]結果となった。この事例の法的な見解については、2010年7月時点では未だ議論の対象[20]となっている。
アノニマスによるペイバック作戦
2010年9月にアノニマスによって、インターネット上の不正コピー行為に対応する団体等に対してDDoS攻撃が行われた。引き続いて2010年12月、アノニマスは、ウィキリークスへの寄付受付を停止した銀行やクレジットカード決済会社のWebサイトに対してDDoS攻撃を実行した(作戦名:アサンジの復讐作戦)[21]
ソニーのプレイステーションネットワーク
2011年4月、アノニマスはソニーのインターネット配信サービス「プレイステーションネットワーク」のサーバに対してもDDoS攻撃を放った[22]

関連項目[編集]

脚注[編集]

[ヘルプ]
  1. ^ 意味が通じない誤訳の例として「サービス拒否攻撃」が挙げられる。
  2. ^ Security Tip (ST04-015): Understanding Denial-of-Service Attacks”. US-CERT (2013年2月6日). 2015年12月19日閲覧。
  3. ^ TCP SYN Flooding Attacks and Common Mitigations”. IETF (2007年8月). 2015年12月18日閲覧。
  4. ^ CA-1997-28: IP Denial-of-Service Attacks”. CERT/CC (1997年12月16日). 2015年12月19日閲覧。
  5. ^ Slow HTTP DoS Attack に対する注意喚起について (PDF)”. @police (2015年12月16日). 2015年12月19日閲覧。
  6. ^ David Senecal (2013年9月12日). “Slow DoS on the Rise”. Akamai. 2015年12月19日閲覧。
  7. ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (December 2004). “Distributed Denial of Service Attacks”. The Internet Protocol Journal 7 (4): 13–35. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html. 
  8. ^ Taghavi Zargar, Saman (2013年11月). “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”. IEEE COMMUNICATIONS SURVEYS & TUTORIALS. pp. 2046–2069. 2015年12月20日閲覧。
  9. ^ Christian Rossow. “Amplification Hell: Revisiting Network Protocols for DDoS Abuse (PDF)”. Internet Society. 2015年12月23日閲覧。
  10. ^ ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起”. JPCERT/CC (2014年1月15日). 2015年12月23日閲覧。
  11. ^ 高橋 睦美 (2015年10月21日). “ハードルがますます下がるDDoS攻撃、経路途中での防御を追求するアカマイ”. @IT. http://www.atmarkit.co.jp/ait/articles/1510/21/news062.html 2015年12月24日閲覧。 
  12. ^ Alert (TA14-017A) UDP-Based Amplification Attacks” (2014年1月17日). 2015年12月28日閲覧。
  13. ^ Akamai Warns Of 3 New Reflection DDoS Attack Vectors”. Akamai (2015年10月28日). 2015年12月29日閲覧。
  14. ^ Glenn Greenwald (2014年7月15日). “HACKING ONLINE POLLS AND OTHER WAYS BRITISH SPIES SEEK TO CONTROL THE INTERNET”. The Intercept_. 2015年12月25日閲覧。
  15. ^ 送信元 IP アドレスを詐称したパケットのフィルタリング”. JPCERT/CC (2005年8月17日). 2015年12月26日閲覧。
  16. ^ 齋藤 衛「DoS/DDoS 攻撃対策(1) 〜ISP における DDoS 対策の 現状と課題~ (PDF) 」 、『情報処理』第54巻第5号、情報処理学会、2013年5月、 468-474頁。
  17. ^ ジョセフ・メン 『サイバー・クライム』 浅川 佳秀訳、講談社、2011年ISBN 4062166275
  18. ^ 閉鎖”. ニコニコ大百科(仮). 2016年1月1日閲覧。
  19. ^ 岡崎図書館事件まとめ
  20. ^ 情報ネットワーク法学会 - 第1回「技術屋と法律屋の座談会」
  21. ^ Operation Payback - Part of a series on Anonymous”. know your meme. 2015年6月26日閲覧。
  22. ^ ソニーはなぜハッカーに狙われたのか、「アノニマス」の正体”. 東洋経済ONLINE (2011年6月8日). 2016年1月1日閲覧。

外部リンク[編集]