DoS攻撃 攻撃手法

ウィキペディア

DoS攻撃

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/09/16 08:13 UTC 版)

攻撃手法

フラッド型のDoS攻撃は、ウェブ上に公開されている様々なサービスに対して行うことができるので、攻撃対象となるサービスごとにフラッド攻撃が存在する。

SYNフラッド攻撃

詳細は「SYN flood」を参照

TCPの3ウェイ・ハンドシェイクでは2つのマシンA,BがTCP接続をする際、Aが通信要求SYNパケットを送信し、BがSYN/ACKパケットを送信し、最後にAがACKパケットを送るという手順をたどる。 SYNフラッド攻撃では攻撃者が攻撃対象のマシンに対しSYNパケットを大量に送りつけ、それらすべてに対するSYN/ACKパケットを攻撃対象に発行させる。しかし攻撃者はそれらのSYN/ACKパケットに対しACKパケットを返信しない。 これにより攻撃対象はタイムアウトになるまでいつまでもACKパケットを待ち続けることとなり、リソースを食いつぶされてしまう。 対策としてはRFC 4987にファイアーウォールやプロキシの利用といった一般的手法の他、SYN cookies、TCP half-open（英語版）、SYN Cacheといった手法が記載されている。

ICMPとUDP

ICMPやUDPのようなコネクションレスのサービスでは発信元の偽装が容易なので、DoS攻撃を行う攻撃者にとって身元がわかりにくいという利点がある。

ICMPを利用したものにはICMP echo request (を利用したping)を攻撃対象に大量に送り続けるICMP echoフラッド攻撃（pingフラッド攻撃）や、踏み台にICMP echo requestをブロードキャストする事でICMP echo replyを攻撃対象に集めるDRDDoS攻撃であるSmurf攻撃がある。

他にも規格外の大きなサイズのICMPパケットを送りつける事で攻撃対象をクラッシュさせるping of deathという攻撃がかつてあったが、1996年に発見されて以降この脆弱性は防がれているため、この手法はほぼ通用しなくなっている。

UDPに対してもUDPポートに対して大量のトラフィックを送信するUDPフラッド攻撃（英語版）があり、UDPを利用したDRDDoS攻撃をUDPベース増幅攻撃（UDP-Based Amplification Attack）と呼ぶ。

UDPベース増幅攻撃の中でもNTPの実装であるntpdのmonlistコマンドを使った攻撃は増幅率が高く、19倍から206倍の増幅率に達する^[12]。このコマンドはNTPサーバが過去にやり取りしたアドレスを最大で600件返すものであり、ntpdにおけるコマンドを利用した攻撃が2013年に観測されている^[13][14]。なおntpdのバージョン4.2.7p26以降はこのコマンドを悪用できないよう修正されている^[13]。

この他にもSSDPやRIPv1を利用したUDPベース増幅攻撃がある^[15][16]。

ブラウザの再読み込み

ウェブブラウザに備わっているページの再読み込み機能を使用し、Webサーバに大量にリクエストを送りつける攻撃はF5アタック（F5攻撃）と呼ばれることがある。この名称は、「F5キーを連打する攻撃」であることに由来する。

Windows上で動作するウェブブラウザでは、F5キーが更新機能に割り当てられていることが多いため、F5キーを押下するたびにWebサーバにリクエストが送られることになる。

なお、Ctrl＋RでもF5アタックと同じリクエストを送ることができる。

その他

• スローなHTTP系：長時間にわたってWebサーバがコネクションを維持してくれることを悪用して能力を浪費する^[17]。次の攻撃がある^[18]。
  • Slow HTTP Headers（Slowloris）
  • Slow HTTP POST（RUDY：R-U-Dead-Yet?）
  • Slow Read DoS
• メールボム：サイズの大きいメールや大量のメールを送り付ける手法。
• HTTP GET/POSTフラッド：HTTPの規格には準拠しているが負荷のかかるリクエストを大量にWebサーバ宛てに送る。
• TeardropおよびLand攻撃：かつてTCP/IP実装にあった脆弱性^[19] を利用した攻撃。前者は分割されたIPパケットを再統合する際パケットの重複をうまく扱えない実装上の問題を利用した攻撃、後者は攻撃者が送り主と送信先を一致させたパケットを送りつけると無限ループにはまるなどの脆弱性を利用した攻撃^[19]。
• WinNuke（英語版） かつてMicrosoft Windowsの「NetBIOS over TCP/IP」に在った脆弱性が攻略された。

脚注

1. ^ “ネットワークセキュリティ関連用語集（アルファベット順）「DoS attack (Denial of Service attack： サービス妨害攻撃)」”. IPA. 2016年7月25日閲覧。
2. ^ “Dos/DDoS 対策について”. 警察庁技術対策課 (2003年6月3日). 2016年7月25日閲覧。
3. ^ “Security Tipかいづかはると” (2013年2月6日). 2015年12月19日閲覧。
4. ^ “EDoS攻撃”. IT用語辞典 e-words. 2016年7月25日閲覧。
5. ^ ウィリアム・スターリングス『Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud』Addison-Wesley Professional、2015年 ISBN 0134175395
6. ^ Christian Rossow. “Amplification Hell: Revisiting Network Protocols for DDoS Abuse” (PDF). Internet Society. 2015年12月23日閲覧。
7. ^ Taghavi Zargar, Saman (2013年11月). “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”. IEEE COMMUNICATIONS SURVEYS & TUTORIALS. pp. 2046-2069. 2015年12月20日閲覧。
8. ^ ^{a b} “DRDoS攻撃 【 Distributed Reflection Denial of Service 】 DoSリフレクション攻撃”. IT用語辞典 e-words. 2016年7月25日閲覧。
9. ^ “インターネット情報インフラ防護のための技術調査調査報告書”. IPA ISEC. 2016年7月25日閲覧。
10. ^ “Akamai Warns Of 3 New Reflection DDoS Attack Vectors”. Akamai (2015年10月28日). 2015年12月29日閲覧。
11. ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (December 2004). “Distributed Denial of Service Attacks”. The Internet Protocol Journal 7 (4): 13-35. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html. 
12. ^ ＠IT「DNSよりも高い増幅率の「理想的なDDoSツール」：NTP増幅攻撃で“史上最大規模”を上回るDDoS攻撃発生」 2016年9月28日閲覧。
13. ^ ^{a b} ＠IT「悪用した攻撃も2013年12月に観測：増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起」2016年9月28日閲覧。
14. ^ “ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起”. JPCERT/CC (2014年1月15日). 2015年12月23日閲覧。
15. ^ 高橋 睦美 (2015年10月21日). “ハードルがますます下がるDDoS攻撃、経路途中での防御を追求するアカマイ”. @IT. https://atmarkit.itmedia.co.jp/ait/articles/1510/21/news062.html 2015年12月24日閲覧。 
16. ^ “Alert (TA14-017A) UDP-Based Amplification Attacks” (2014年1月17日). 2015年12月28日閲覧。
17. ^ “Slow HTTP DoS Attack に対する注意喚起について” (PDF). @police (2015年12月16日). 2015年12月19日閲覧。
18. ^ David Senecal (2013年9月12日). “Slow DoS on the Rise”. Akamai. 2015年12月19日閲覧。
19. ^ ^{a b} “CA-1997-28: IP Denial-of-Service Attacks”. CERT/CC (1997年12月16日). 2015年12月19日閲覧。
20. ^ Glenn Greenwald (2014年7月15日). “HACKING ONLINE POLLS AND OTHER WAYS BRITISH SPIES SEEK TO CONTROL THE INTERNET”. The Intercept_. 2015年12月25日閲覧。
21. ^ “送信元 IP アドレスを詐称したパケットのフィルタリング”. JPCERT/CC (2005年8月17日). 2015年12月26日閲覧。
22. ^ 齋藤衛「DoS攻撃：3.1 DoS/DDoS攻撃対策(1)～ISPにおけるDDoS対策の現状と課題～」『情報処理』第54巻第5号、情報処理学会 ; 1960-、2013年4月、468-474頁、ISSN 0447-8053、NAID 40019679402。 
23. ^ “Backscatter Analysis (2001)”. Animations. Cooperative Association for Internet Data Analysis. 2013年12月11日閲覧。
24. ^ 浅川 佳秀 訳『サイバー・クライム』講談社、2011年。ISBN 4062166275。 
25. ^ “ニコニコ動画(β) | サービス一時停止のお知らせ”. ニコニコ動画. ニワンゴ (2007年2月23日). 2007年2月23日時点のオリジナルよりアーカイブ。2021年7月3日閲覧。
26. ^ 三柳英樹 (2007年2月23日). “「ニコニコ動画」にDDoS攻撃、サービスを一時停止”. INTERNET Watch. インプレス. 2021年7月3日閲覧。
27. ^ http://www.itmedia.co.jp/news/articles/1003/02/news070.html
28. ^ 岡崎図書館事件まとめ
29. ^ 情報ネットワーク法学会 - 第1回「技術屋と法律屋の座談会」
30. ^ “Operation Payback - Part of a series on Anonymous”. know your meme. 2015年6月26日閲覧。
31. ^ “ソニーはなぜハッカーに狙われたのか、「アノニマス」の正体”. 東洋経済ONLINE (2011年6月8日). 2016年1月1日閲覧。
32. ^ 米で大規模サイバー攻撃 ツイッターやアマゾン被害 ネット基盤サービス狙う（日本経済新聞）
33. ^ ^{a b} 米国で「大規模DDoS攻撃」発生：Netflix、Twitter、Spotifyがダウン（WIRED (雑誌)）
34. ^ Woolf, Nicky (2016年10月28日). “DDoS attack that disrupted internet was largest of its kind in history, experts say” (英語). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet 2016年10月28日閲覧。 
35. ^ [1]、2018年9月24日閲覧。