このページの本文へ

アーバーネットワークスに学ぶDDoS攻撃の実態と対策 ― 第4回

コネクションフラッド攻撃やHTTP Getフラッド攻撃

WebやDNSサーバーを狙う複雑な複雑なDDoS攻撃とは?

2013年04月09日 06時00分更新

文● 佐々木 崇/アーバーネットワークス

  • この記事をはてなブックマークに追加
  • 本文印刷

 前回はIPアドレスを詐称した、簡易的な攻撃手法について紹介した。今回はPCやサーバーから行なわれるやや複雑なDDoS攻撃について解説しよう。これらはアプリケーションレイヤアタックとも呼ばれ、レイヤ7での攻撃を含む。

コネクションフラッド攻撃

 コネクションとはTCPのコネクションのことだ。インターネット上に公開されるサーバーはTCPのウェルノンポートを公開してサービスを提供しており、基本的に誰からでもアクセスできる状態になっている。攻撃者(ボット)も、このポートでTCPの3ウェイハンドシェイクを確立する。正規のアクセスであれば、そのあと何かしらのリクエストがくる、だが、コネクションフラッド攻撃は、そのまま黙り込んでしまうことが特徴だ。サーバーのパフォーマンスによるが、繰り返し発生するコネクションの確立はサーバーのリソースを浪費してしまい、最終的には正規ユーザーからのアクセスを受け付けるリソースも奪われてしまう。

3ウェイハンドシェイク後に黙ってしまう「コネクションフラッド攻撃」

HTTP Getフラッド攻撃

 3ウェイハンドシェイク確立後に黙ってしまうコネクションフラッドとは逆に、TCPの3ウェイハンドシェイクを確立した上で、次にHTTPのリクエストである「Get /xxx 」という実際のURLを埋め込んだパケットを繰り返しサーバーに送り付けるのが「HTTP Getフラッド攻撃」だ。

 当然、サーバーはそのリクエストに対してリプライを行なうが、アプリケーション層での負荷は、サーバー全体のパフォーマンスに影響を与える。たとえばGetのリクエストが1万回発生すれば、それは1万人の同時アクセスとほぼ同じ負荷状態となる。

 このタイプの攻撃は、ボットからのみ発生するものではない。DDoS攻撃に賛同する1万人を世界中から集めれば、人力でHTTP Getフラッド攻撃が行なえる。時間を決めて集団でWebサーバーにアクセスし、F5キーを連打することでWebブラウザにページのリロードを繰り返す。これによって大量のGetが繰り返し送り付け、サーバーを過負荷状態に陥れるのだ。これが、いわゆる「F5アタック」と呼ばれるものだ。

 昨今では、わざわざ人的にキーを連打する必要がなくなってきている。DDoS攻撃ツールの存在だ。昨年の6月にハクティビズム集団であるアノニマスが日本の複数のサイトにたいして攻撃を行なった手法も、このツールによるものである。ツールはインターネット上から簡単に入手でき、又攻撃先のURLリストも配布されていることから、あとは個人の意思によっていつでも攻撃に参加することが可能だ。

Webサーバーに対する攻撃手法

DNSへの攻撃

 Webサーバーに次いで多い攻撃対象がDNSサーバーだ。DNSサーバーが機能しなくなれば、多くのインターネットアクセスは不能になるため、攻撃者の1つのターゲットとなる。

 DNSに対しては通常UDPのポート53番を使用するため、TCPに比べて攻撃が容易だ。一方的にパケットを投げ付ければよいのである。ただし、ここでのポイントは、実際のDNS queryをペーロードに持つ正規のDNSパケットとしてアタックすることだ。たとえば、存在しないドメインをセットしたQueryをDNSサーバーに送ったとしよう。当然そのサーバーはIPアドレスを解決できないため、上位DNSサーバーへの問い合わせをはじめ、解決を試見る動作をとることになる。複数の異なるドメインに対するQueryが同時に送られれば、結果としてDNSサーバーは過負荷状態になり、他のレスポンスに時間を要する結果となる場合がある。

キャッシュDNSサーバーに対する攻撃の割合

アプリケーションレイヤアタックの特徴

 今回は3つの例を紹介したが、そのほかにもTLS/SSLによる攻撃や、ツールによるさらに複雑な攻撃も確認されている。いずれにせよこの種の攻撃の特徴は、トラフィックのボリュームが非常に少なくてもサーバーに大きなインパクトを与える点だ。したがって、通常のネットワークモニタリングは気がつかない可能性がある。よくDDoSといえば、大きく跳ね上がるトラフィックを想像するかもしれない。実はそうではないケースがあることを、理解いただきたい。DDoS攻撃者はサーバーを過負荷に陥らせ、サービスを不能にさせることが目的であることを改めて認識しておく必要がある。

 次回からは、DDoS攻撃に対する防御の方法について紹介しよう。

筆者紹介:佐々木 崇(ささき たかし)


アーバーネットワークス株式会社 日本オフィス SEマネージャー。2000年からシスコシステムズにてPre-sales SEとしておもにNTT東日本、東京電力を担当。2004年エラコヤネットワークスへ移籍し、DPIテクノロジーによるアプリケーション識別のソリューションを提案。2008年より現職


カテゴリートップへ

この連載の記事
ピックアップ