DDoS攻撃について

Size: px

Start display at page:

Download "DDoS攻撃について"

いつやみおか
5 years ago
Views:

1 DDoS 攻撃について 2016 年 3 月 1 日株式会社グローバルネットコア金子康行 <yasuyuki.kaneko@global-netcore.jp>

2 目次 DDoS 攻撃とは DDoS 攻撃が成立する背景 DDoS 攻撃の目的 DDoS 攻撃の状況 DDoS 攻撃の防御手法私たちはどうすればいいのか 2

3 DDoS 攻撃とは Denial of Service Attack サービス不能攻撃大量のアクセスによりサーバを過負荷状態にする大量のパケットによりネットワーク帯域をあふれさせるセキュリティホールを突きシステムをダウンさせる 3

4 DDoS 攻撃とは DoS F5 攻撃 SYN Flood 攻撃 UDP Flood 攻撃 ICMP Flood 攻撃 Connection Flood 攻撃 DDoS (Distributed DoS) Botnet 等を利用し多数の攻撃元から協調分散的に攻撃 DRDoS (Distributed Reflective DoS) UDP-Based Amplification 攻撃 (NTP DNS SSDP など ) 4

5 DDoS 攻撃とは DoS Attack!! 5

6 DDoS 攻撃とは DDoS Attack!! 6

7 DDoS 攻撃とは DRDoS Attack!! 7

8 DDoS 攻撃が成立する背景 Botnet ウイルス感染端末オープンリゾルバ脆弱なブロードバンドルータアドレス詐称に寛容なネットワーク容易に増幅が可能なプロトコル仕様 8

9 Botnet ウイルス感染端末悪意を持ったプログラムを秘密裏にインストール ( 感染 ) 感染 PC に遠隔から指令を出し攻撃を行うマルウェア感染 ( トロイの木馬 ) 攻撃者攻撃指令 C&Cサーバ (Command and Control) ゾンビコンピュータ攻撃対象 9

10 オープンリゾルバ不特定端末からの問い合わせを受け付ける DNS キャッシュサーバ詐称された IP アドレスからの問い合わせに応答することで DNS Amp 攻撃の踏み台に大きな応答が返る問い合わせ多数を行うことで反射増幅攻撃を実現攻撃者攻撃対象が利用している IP アドレスを詐称して通信オープンリゾルバ ( 利用者を制限していない ) 攻撃対象 10

11 脆弱なブロードバンドルータファームウェアにセキュリティホールが存在する状態で大量に出荷販売具体的にはオープンリゾルバなど反射増幅攻撃に利用可能インターネット側から管理画面にアクセス可能で ID/ パスワード情報が盗まれるなどすべての機器でファームウェアの更新が適切に更新されるのは困難 11

12 脆弱なブロードバンドルータ 12

13 アドレス詐称に寛容なネットワーク ISP がすべての通信に対して送信元 IP アドレスの検証を行っていればアドレスを詐称した通信は遮断できる実際には必ずしも対策が徹底されていないのが実情詐称した IP アドレスから通信送信元アドレス検証正規の IP アドレスから通信 13

14 容易に増幅が可能なプロトコル仕様小さな問い合わせで大きな応答を得ることが可能な特性を利用し反射増幅攻撃を仕掛ける UDP はコネクションレスなため IP アドレスを詐称しやすい増幅率が高く踏み台として利用出来るホストが見つけやすいプロトコルが危険 14

15 UDP-Based Amplification Attacks Christian Rossow Amplification Hell: Revisiting Network Protocols for DDoS Abuse 15

16 DDoS 攻撃の目的嫌がらせ愉快犯私怨金銭目的政治的主張国家間紛争 16

17 NORSE 17

18 NICTOR 18

19 Digital Attack Map 19

2015 年 11 月 10 日日本経済新聞社 DD4BC 2015 年 6 月 25 日セブン銀行 2015 年 5 月 22 日 FXプライムbyGMO

20 最近の主な DDoS 攻撃 Anonymous 2016 年 1 月 31 日財務省金融庁 2016 年 1 月 27 日警察庁中部国際空港 2016 年 1 月 25 日厚生労働省 2016 年 1 月 22 日成田空港 2016 年 1 月 18 日金融庁 2016 年 1 月 12 日日産自動車 2015 年 11 月 10 日日本経済新聞社 DD4BC 2015 年 6 月 25 日セブン銀行 2015 年 5 月 22 日 FXプライムbyGMO DNS 2015 年 12 月 14 日 ASAHIネット 2015 年 2 月 3 日 VALUE DOMAIN DTI 2015 年 2 月 1 日 eo 光 20

21 DNS Amplification Attack 21

22 DD4BC 22

23 Anonymous

24 Anonymous 24

25 DDoS for hire services DDoS 攻撃請負サービスが多数存在多くは Booter Stresser などと称する子供のお小遣い程度の金額で手軽に買えてしまう 25

26 DDoS for hire services 26

27 DDoS for hire services 27

28 DDoS for hire services 28

29 DDoS for hire services 29

30 DDoS 攻撃の防御手法十分な回線容量の確保フィルタリング ( ブロック ) ミティゲーション ( 緩和 ) CDN 等によるサーバ分散 30

31 十分な回線容量の確保攻撃による流量を上回るキャパシティがあればそもそも DoS(= サービス停止 ) は成立しないエンドユーザ側の回線容量増加は限界があるホスティング事業者データセンター授業者 ISP 事業者のキャパシティは? 31

32 フィルタリング ( ブロック ) 攻撃を検知し該当通信をフィルタ ( ブロック ) するフィルタ以前に回線を埋め尽くす流量があれば無意味フィルタを行うためには攻撃の発生検知とフィルタ適用条件 ( 攻撃元攻撃先プロトコル等 ) の把握が必要フィルタの範囲に通常の通信も含まれる場合事実上 DoS( サービス停止 ) が成立してしまう 32

33 ミティゲーション ( 緩和 ) 専用の緩和装置 ( ミティゲーションデバイス ) により攻撃とみなされる異常通信のみフィルタし正常通信は通過させる緩和装置の処理能力を超える流量があれば無意味緩和機器の個別導入は投資運用両面で敷居が高い ISP でのサービス化も進んでいるが料金はまだ安くない 33

34 CDN 等によるサーバ分散 CDN = Contents Delivery Network 多数のサーバにデータを分散配置し大量のリクエストに対応するための仕組み攻撃対象が CDN で分散しているので攻撃も分散して薄まり DoS( サービス停止 ) に追い込まれない分散には分散で対応 34

35 DDoS 攻撃防御サービスの例 35

36 DDoS 攻撃防御サービスの例 36

37 DDoS 攻撃防御サービスの例 37

38 DDoS 攻撃防御サービスの例 38

39 DDoS 攻撃対策のつらさ一方的な被害迷惑いつ発生するかそもそも発生するのかわからない発生した場合の影響が大きい基本的に後ろ向きな対策高額な対策コストに対する見返りに乏しい 39

40 私たちはどうしたらいいのか? 安全安心ガバナンスオープンネステクノロジーオリエンテッドイノベーション 40

金融工学ガイダンス

金融工学ガイダンス盗聴盗聴と不正利用 2013 年 10 月 15 日後保範ネットワークに接続されているデータは簡単に盗聴されるネットワークを流れるパケットは, 暗号化されていなければ, そのままの状態で流れているネットワークの盗聴は, スニッファ (Sniffer) と呼ばれるネットワーク管理ツールを利用して行われるスニッファをクラッカーが悪用し, ネットワークを流れるパケットを盗聴する 1 2 Sniffer