McAfee Avert Labs Blog
DDoS Response: Part 1」より
September 8,2009 Posted by Francois Paget

 分散型サービス拒否(DDoS)攻撃の実行手段には,SYNフラッドやUDPフラッド,ティアドロップ攻撃,Ping of Death,スマーフィング,メール爆弾など様々な方法が存在する。攻撃対象マシンで動いているソフトウエアのぜい弱性を突くこともあれば,対象システムに処理できないほど大量のトラフィックを送りつけることもある。攻撃の対象は,(ネットワーク層,ネットワーク・リンク,終端ホストなどの)ITリソースそのものやリソースの通信経路だ。ボットネットを使うことが多く,オンライン・ギャンブル・サイトから金を脅し取る目的でよく行われる。最近も「Sportingbet Australia」および「Sports Alive」というスポーツ系ギャンブル・サイトがDDoS攻撃を受けた(関連記事)。その結果Sports Aliveは,ほぼ2009年8月いっぱいサービスを停止する羽目になった。

 このごろDDoS攻撃に関する報告書や論文が目につく。ただ,攻撃手法を説明する文書は多いにもかかわらず,インターネット・サービス・プロバイダ(ISP)向けにユーザー保護策を開設したものは限られる。そこで,当ブログでは2回に分けてDDoS攻撃への対応方法を説明する。

 典型的なDDoS攻撃の実行方法を以下の図に示した。

 ボット・マスターはボット制御用(C&C:command-and-control)サーバーを介してボットにコマンドを送り,DoS攻撃を始める。ボットはターゲットのシステムのサービスを妨害すべく,一斉にフェイクのトラフィックを送る。狙われたシステムはボットから送られてきたパケットやリクエストを処理しようとして,リソースを使い果たしてクラッシュしたり,応答できなくなったりする。

 攻撃緩和策としてISPが講じられる手段の一つは,リダイレクション,あるいはブラック・ホール・ルーティングである。

 この緩和策を導入すると,攻撃対象アドレスあてのトラフィックはすべて「ごみ捨て場」に送られる。つまりこの緩和策を実施するよう設定されたルーターは,攻撃対象に送られてきたトラフィックを,良いものも悪いものもまとめて全部捨ててしまう。国内のユーザーを主な顧客としている通信販売サイトなら,海外との接続地点にブラック・ホールを設けて全トラフィックを廃棄すれば,通信帯域を解放してリソースを確保する暫定的な対策となる。しかしボットネットそのものは無傷のままで,国内にあるボットは機能し続ける。もっともこの例の場合,残っている勢力は攻撃対象に大した影響を与えられないだろう。

 もっと効果の高い緩和策はフィルタリングだ。

 具体的には,パケットをフィルタリングして良性か悪性かを見分け,良性パケットだけをあて先に届ける。ただし,従来のパケット・フィルタリング技術は,動的もしくは不定期に構成を変えるある種のボットネット対策としては不十分なことがある。悪事と無関係なサーバーを使うフラッド攻撃は,フィルタリングしても防ぎきれないことが多い。IPというプロトコルとパケット転送という通信の仕組みも,ISPによるパケット発信元の特定を難しくする要素だ。さらに,DDoS攻撃の実行犯はIPアドレスを偽ることもできる。フィルタリングのこうした弱点をふさぐ第3の対策が,次に説明するトレースバック(追跡)だ。

 IPトレースバックを使うと,本当の攻撃源を見つけられる。DDoS攻撃の実行地点(または大体の攻撃源)を特定することで,最も近い場所で通信を遮断できる。

 通信帯域の制限も効果的な対策である。具体的には,悪質と判断した大量の流入トラフィックについて,通信速度の上限を設定するのである。

 なお,悪性パケットだけでなく良性パケットも上限設定の対象となる可能性がある。フォールス・ポジティブ(良性パケットを誤って悪性パケットと判断すること)の確率も高い。「DDoS攻撃への対応:パート2」では,ほかの対策に加え,記事執筆に役立った報告書と大学の学位論文を紹介する。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「DDoS Response: Part 1」でお読みいただけます。