DDoS攻撃は1990年代から継続して被害をもたらしている。インターネットの一般的な通信方法を悪用する手口なので、攻撃が短時間に集中する場合以外には、不正な通信なのか正当な通信なのかの判断がつかない。ある特徴をもつ通信がどうやら攻撃らしいと分かっても、その特徴をもつ通信全てを遮断すると正当な通信も影響を受ける。そこにDDoS攻撃対策の難しさがある。
古典的なDDoS攻撃は、NTPリフレクション攻撃のように効率的に巨大トラフィックを作り出すことができない。現在の高速ネットワークでは簡単にサービス停止に追い込むことが難しくなった上、実質的な被害を受けないようにする対策が幾つかある。そこから見ていこう。
現在でも多いのが、サーバに過大な負荷をかけるために、接続要求(SYN)パケットを送り続けるだけのSYN Flood攻撃だ。SYNパケットへの返答としてサーバにSYN/ACKパケットを送出させる一方、それに応えるACKパケットを送らない。
サーバは設定されたタイムアウトまで一定時間ACKパケットを待ち続けるので、他のTCP接続に影響が出る。また、サーバは再送に備えて必要な情報を記憶するが、次々にSYNパケットが来ると記憶領域が満杯になり、ダウンすることもある。ウイルス感染した多数のPC(ボット化)を遠隔操作して、多数のPCから一斉に攻撃を行うと簡単に目的を果たせる。
自社システムでの対策として有効なのはSYN Cookie機能だ。これはSYN/ACKパケットにTCPシーケンス番号を含ませ、それに対するACKにシーケンス番号が含まれていれば初めてTCP接続情報を記録するやり方だ。
最初は情報を記録しないので、無駄にリソースを消費せずに済む。この機能はOSに備えられているので、対応可能なOSで機能を有効にすればよい。ADC(アプリケーションデリバリコントローラー)にこの機能を備えるものもある。
また、対応機能を備えるファイアウォールの導入、タイムアウト時間の短縮、ADCやロードバランサによるサーバの負荷分散、サーバリソースの増強によっても抑え込める。
現在、ISPなど通信事業者が特定のサーバやポートに対する異常なアクセス増加を発見次第、アクセスを遮断するケースが増えたが、対応可能な量を超えると自社のシステム、すなわち他の契約者への通信サービスを守るために、攻撃対象への正常なアクセスを含む全てのTCP通信を一時的に止めてしまう。対策がとられてはいても、結果的にDDoS攻撃の目的が果たされてしまうことには注意したい。DDoS攻撃はある程度までは抑え込めるが、完全に防ぐ方法はないのだ。
同様にサーバのリソースへの攻撃としてよく行われるのがConnection Flood攻撃とHTTP GET Flood/HTTP POST Flood攻撃だ。前者はTCP接続を大量に成立させるが、その後のデータ転送をしない手口、後者はHTTP GETコマンドかPOSTコマンドを大量に送る手口だ。どちらも正常な通信と見分けがつかないのが特徴だ。
これら攻撃には、OSやアプリケーションでセッションの維持時間を短く設定するなどのTCP/IPチューニングとサーバ負荷分散、リソース増強で対応できる。また、ファイアウォールやルーターでの攻撃元アドレスのアクセス制限、ADCなどによるアイドル接続時間超過や多数同時コネクションの拒否が有効に働く。
Webブラウザの「リロード」機能(F5キーに割り当てられる)を連続して実行する攻撃がある。大規模に組織的な攻撃をしない限り現在のネットワーク環境では被害が少ないと思われるが、いまだに現役の手口だ。
これにはサーバの負荷分散やリソース増強などの他、コンテンツキャッシュサーバを利用して、背後にあるサーバの代理として応答させることで被害を最小化することが可能だ。
送信元を攻撃対象のサイトに偽装したICMP Echo Requestパケットを踏み台になるサイトのブロードキャストアドレスに送りつけ、大量のICMP Echo Relayパケットを攻撃先に送りつける攻撃が代表例でSmurf攻撃と呼ばれる。対策としては、ルーターやADCでICMPの拒否や帯域制限を施すこと、あるいはADCの背後へのICMP通信を通さないことが挙げられる。
以上、代表的な従来型のDDoS攻撃と対策の例を紹介した。手口はこれにとどまるものではないが、近年ではISPでの対策や対策機能を備えたセキュリティツールの導入により、大きな実害が生じるようなDDoS攻撃の被害例は少なくなった。
また、攻撃元を分散させて指令の下に一斉攻撃を仕掛けるのが従来のDDoS攻撃の手口であり、攻撃元になるのは遠隔操作可能なウイルスに感染させたPCだった。そのようなPCはボットと呼ばれ、ボットネットと呼ばれる攻撃用ネットワークを構成する。
米国連邦捜査局(FBI)や欧州刑事警察機構(ユーロポール)、日本の警察庁などが壊滅作戦(テイクダウン)を積極的に行い、大規模なボットネットは少なくなった。ただし、攻撃用ツールは新種や亜種が頻繁に登場するため、一度は崩壊したボットネットが時間を置かずに修復されているとの報告もある。イタチごっこはこれからも続く。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。