コネクションフラッド攻撃やHTTP Getフラッド攻撃

WebやDNSサーバーを狙う複雑な複雑なDDoS攻撃とは？

2013年04月09日 06時00分更新

文● 佐々木　崇／アーバーネットワークス

　前回はIPアドレスを詐称した、簡易的な攻撃手法について紹介した。今回はPCやサーバーから行なわれるやや複雑なDDoS攻撃について解説しよう。これらはアプリケーションレイヤアタックとも呼ばれ、レイヤ7での攻撃を含む。

コネクションフラッド攻撃

　コネクションとはTCPのコネクションのことだ。インターネット上に公開されるサーバーはTCPのウェルノンポートを公開してサービスを提供しており、基本的に誰からでもアクセスできる状態になっている。攻撃者（ボット）も、このポートでTCPの3ウェイハンドシェイクを確立する。正規のアクセスであれば、そのあと何かしらのリクエストがくる、だが、コネクションフラッド攻撃は、そのまま黙り込んでしまうことが特徴だ。サーバーのパフォーマンスによるが、繰り返し発生するコネクションの確立はサーバーのリソースを浪費してしまい、最終的には正規ユーザーからのアクセスを受け付けるリソースも奪われてしまう。

3ウェイハンドシェイク後に黙ってしまう「コネクションフラッド攻撃」

HTTP Getフラッド攻撃

　3ウェイハンドシェイク確立後に黙ってしまうコネクションフラッドとは逆に、TCPの3ウェイハンドシェイクを確立した上で、次にHTTPのリクエストである「Get /xxx 」という実際のURLを埋め込んだパケットを繰り返しサーバーに送り付けるのが「HTTP Getフラッド攻撃」だ。

　当然、サーバーはそのリクエストに対してリプライを行なうが、アプリケーション層での負荷は、サーバー全体のパフォーマンスに影響を与える。たとえばGetのリクエストが1万回発生すれば、それは1万人の同時アクセスとほぼ同じ負荷状態となる。

　このタイプの攻撃は、ボットからのみ発生するものではない。DDoS攻撃に賛同する1万人を世界中から集めれば、人力でHTTP Getフラッド攻撃が行なえる。時間を決めて集団でWebサーバーにアクセスし、F5キーを連打することでWebブラウザにページのリロードを繰り返す。これによって大量のGetが繰り返し送り付け、サーバーを過負荷状態に陥れるのだ。これが、いわゆる「F5アタック」と呼ばれるものだ。

　昨今では、わざわざ人的にキーを連打する必要がなくなってきている。DDoS攻撃ツールの存在だ。昨年の6月にハクティビズム集団であるアノニマスが日本の複数のサイトにたいして攻撃を行なった手法も、このツールによるものである。ツールはインターネット上から簡単に入手でき、又攻撃先のURLリストも配布されていることから、あとは個人の意思によっていつでも攻撃に参加することが可能だ。

Webサーバーに対する攻撃手法

DNSへの攻撃

　Webサーバーに次いで多い攻撃対象がDNSサーバーだ。DNSサーバーが機能しなくなれば、多くのインターネットアクセスは不能になるため、攻撃者の1つのターゲットとなる。

　DNSに対しては通常UDPのポート53番を使用するため、TCPに比べて攻撃が容易だ。一方的にパケットを投げ付ければよいのである。ただし、ここでのポイントは、実際のDNS queryをペーロードに持つ正規のDNSパケットとしてアタックすることだ。たとえば、存在しないドメインをセットしたQueryをDNSサーバーに送ったとしよう。当然そのサーバーはIPアドレスを解決できないため、上位DNSサーバーへの問い合わせをはじめ、解決を試見る動作をとることになる。複数の異なるドメインに対するQueryが同時に送られれば、結果としてDNSサーバーは過負荷状態になり、他のレスポンスに時間を要する結果となる場合がある。

キャッシュDNSサーバーに対する攻撃の割合

アプリケーションレイヤアタックの特徴

　今回は3つの例を紹介したが、そのほかにもTLS/SSLによる攻撃や、ツールによるさらに複雑な攻撃も確認されている。いずれにせよこの種の攻撃の特徴は、トラフィックのボリュームが非常に少なくてもサーバーに大きなインパクトを与える点だ。したがって、通常のネットワークモニタリングは気がつかない可能性がある。よくDDoSといえば、大きく跳ね上がるトラフィックを想像するかもしれない。実はそうではないケースがあることを、理解いただきたい。DDoS攻撃者はサーバーを過負荷に陥らせ、サービスを不能にさせることが目的であることを改めて認識しておく必要がある。

　次回からは、DDoS攻撃に対する防御の方法について紹介しよう。