DDoS攻撃の傾向と防御戦略について
一、サービスの遮断(Denial of Service) DDoSを検討する前に、まずDoSについて知っておく必要があります。DoSはハッカーが正常な利用者のネットワーク上のサービスを妨害しようとしています。例えば、ビルの電話回線を切ったら、ユーザーが通話できなくなります。ネットワークでは、周波数帯域が広いため、ネットワークデバイスやサーバーホストなどの処理能力に制限があります。そのため、ハッカーが過剰なサイバーパッキングを発生すると、デバイスの処理ができなくなり、正常な利用者がこのサービスを正常に利用できなくなります。例えば、ハッカーが大量の封鎖で一般的に周波数帯域が比較的小さいダイヤルやADSLの利用者を攻撃しようとすると、被害者は彼が接続したいウェブサイトが繋がらないことや反応がとても遅いことを発見します。 DoS攻撃は本体に侵入しても、マシン上の資料を盗むことはできませんが、攻撃目標が電子商取引サイトであれば、顧客はこのサイトで買い物できなくなります。 二、分散式遮断サービス(Disttributed Denial of Service) DDoSはDoSの特例であり、ハッカーは複数のマシンを同時に攻撃して正常な利用者のサービスを妨害する目的を達成する。ハッカーがあらかじめ大量のホストに侵入した後、被害ホストにDDoS攻撃プログラムをインストールして被害ホストに攻撃目標を攻撃します。いくつかのDDoSツールは、マルチレベルのアーキテクチャを採用しています。さらに、一度に千台以上のコンピュータを制御して攻撃を展開することもできます。このような方法を利用して、大きなネットワーク流量を効果的に発生させて、ダウン攻撃目標になります。2000年にYahoo,eBay,Buy.com,CNNなどの有名サイトに対するDDoS攻撃が発生し、合法的なネットワーク流量を数時間にわたって停止した。 DDoS攻撃プログラムの分類は、いくつかの方法で分類できます。自動化の程度は手動、半自動、自動攻撃に分けられます。初期のDDoS攻撃プログラムの大半は手動攻撃で、ハッキング可能なコンピュータの侵入と攻撃プログラムの植え付けをハッカーが手動で探して、攻撃目標を指示します。半自動攻撃プログラムは大半がハンドルコントロール攻撃用のagentプログラムを持っています。ハッカーは自動化された侵入ツールを散布してagentプログラムに埋め込みます。そして、ハンダーを使って、すべてのagentsをコントロールして、DDoS攻撃を開始します。自動攻撃はさらに自動化された攻撃プログラム全体で、攻撃の目標、時間、方法をあらかじめ攻撃プログラムに書いておき、ハッキング可能なホストをハッキングして攻撃プログラムを実行し、所定の時間に指定されたターゲットを攻撃する。 攻撃の弱点を分類すれば、契約攻撃と暴力攻撃の二つに分けられます。プロトコル攻撃とは、ハッカーがあるネットワークプロトコルの設計上の弱点または実行上のバグを利用して大量のリソースを消費すること、例えばTCP SYN攻撃、認証サービスに対する攻撃などです。暴力攻撃はハッカーが大量に正常なオンラインで被害目標の資源を消費するので、ハッカーは複数のホストコンピュータがDDoS攻撃目標を開始することを用意します。単位時間内に攻撃側が出すネットワークの流量が目標の処理速度より高いと、目標の処理能力を消耗して正常な利用者がサービスを利用できなくなります。 攻撃周波数で区別すると、持続攻撃と変動周波数攻撃に分けられます。攻撃を続けるということは、攻撃命令が下った後、本体を攻撃すると全力で攻撃を続けます。そのため、大量の流量が発生し、ターゲットを遮断するサービスも発生します。変動頻度攻撃は慎重で、攻撃の頻度はスローから徐々に増加したり、頻度が高低に変化したりすることがあります。このようにして、攻撃が検出される時間を遅らせます。 三、DDoSからの攻撃で生き残る。 DDoSの攻撃を受けた時はどうやって生き延びて正常なサービスを提供しますか?前の紹介から分かるように、ハッキングの攻撃規模があなたのネットワークの周波数よりもはるかに高いなら、設備やホストが処理できる能力は攻撃に抵抗しにくいですが、攻撃による影響を軽減する方法があります。 まず攻撃の出所を調査します。ハッキングマシンを通じてハッカーが攻撃をするので、ハッキングがどこから攻撃を開始したのかを調べることができないかもしれません。私たちは一歩ずつ攻撃されたターゲットからバックに押さなければなりません。まず攻撃はネットワークを管轄するどの境界ルータから入るのかを調べます。前のステップは外部のどのルータですか?これらのルータの管理者(ISPあるいは電気通信会社かもしれません)を連絡してそして彼らに協力して妨害してあるいは攻撃の出所を調べ出すように求めて、彼らが処理する前にどれらの処理を行うことができますか? 攻撃されたターゲットが単一のipである場合、ipを変更してDNS mappingを変更して攻撃を避けることができるかもしれません。これは最も速くて効果的な方法です。しかし、攻撃の目的は正常な利用者がサービスを利用できないようにすることです。ipを変更する方式は攻撃を避けますが、別の観点からハッカーも彼の目的を達成しました。また、攻撃の手法が比較的単純であれば、発生した流量からその規則を探し出すことができます。ルータのACLs(Access Control Lists)やファイアウォールルールを利用して阻止できるかもしれません。流量は同じソースやコアルータから来ていることがわかったら、しばらくはそちらの流量を止めることができます。もちろんこれは正常と異常の流量を一緒に遮断することができますが、少なくとも他のソースは正常なサービスを得ることができます。これはやむをえない犠牲です。余力があれば、攻撃されるバッファとして机械やバンド幅を増やすことも考えられますが、これはあくまでも治疗的なやり方です。何よりも、すぐに調査に着手し、関連機関と協調して解決しなければならない。 四、DDoS攻撃の予防 DDoSは、ネットワーク上の各団体と利用者の共同協力を通じて、より厳格なネットワーク標準を制定して解決しなければならない。各ネットワークデバイスまたはホストは、いつでもシステムの脆弱性を更新し、不要なサービスを閉鎖し、必要な防毒とファイアウォールソフトをインストールし、いつでもシステムの安全に注意して、ハッカーと自動化DDoSプログラムに攻撃プログラムを埋め込まれないようにする必要があります。 いくつかのDDoSは攻撃のソースを偽装して、パッケージのソースipを偽造して、人に追跡しにくくさせて、この部分はルータの濾過機能を設定して防止することができて、ネットの領域内の封包の出所がそのネットの領域以外のipなのでさえすれば、直接この封包を捨てて更に送り出すべきでなくて、もしネットの管の設備はすべてこの機能を支持するならば、ネットの管理者はすべて正確に設定して偽造の封を濾過してしまうことができて、大量に調査と追跡の時間を減らすことができます。 ネットワーク間の連絡を保つことは重要であり、このようにして初めてDDoS攻撃の早期警報と予防に効果的であり、一部のISPはいくつかのネットワークノード上にセンサーを置いて突然の巨大な流量を検出し、DDoSの被害エリアを早期に警告し、遮断し、顧客の被害度合いを低減する。