1. 序章

インターネットの出現以来、悪意のある攻撃が発生しています。 これらの攻撃の多くは、オンラインサービスの潜在的なアーキテクチャの脆弱性を利用しています。

特定のcクライアント/サーバーアーキテクチャのサーバー中心性やピアツーピアアーキテクチャの複数のソースなどの特性は、さまざまな方法で利用できます。

最も有名なネットワーク攻撃の中には、サービス拒否(DoS)があります。 DoS攻撃は、ネットワーク(通常はインターネットに接続されている)で利用可能なサービスを過負荷にして、利用できないようにすることを目的としています。 単一のソースまたは複数のソース(分散型DoS – DDoS)から実行できます。

このチュートリアルでは、DDoS攻撃を全体的に調査します。最初に、DoS攻撃の原理を調査し、それらがどのように分散されるかを理解します。 次に、DDoSのさまざまな手法とその仕組みについて説明します。 最後に、DDoSの潜在的な結果について説明します。

2. サービス拒否攻撃の基本

DoS攻撃の主な目的は、ネットワークサービスを過負荷にしてネットワークサービスを利用できないようにすることです。 実行する最も一般的なフォームは、サービスプロバイダーに大量の悪意のある要求を送信することです。非常に多くの要求があるため、サーバーはある時点で応答を停止します。

フラッディングDoSの大規模な要求攻撃と呼びます。ただし、特定のサービスの特定の特性を悪用するサービス拒否の手法は他にもあります。 これらの手法により、リクエスト数を減らしてサービスを利用できなくなる可能性があります。

単純なDoS攻撃を実行するために、攻撃者はターゲット(通常はクライアント/サーバーアーキテクチャからサーバー)を選択し、体系的にサービスリクエストを送信します。これらのリクエストは偽物であるため、攻撃者はサーバーを単に無視できます。反応。 したがって、攻撃者は自分自身の過負荷を回避します。

さらに、DoS攻撃者は、サーバーのセキュリティシステムによって検出およびブロックされたり、コアネットワーク自体で実行されたりしないように、要求の発信元アドレスを頻繁に変更します。 したがって、1人の攻撃者が数十または数百の偽のユーザーになりすますことは珍しいことではありません。

次の画像は、高レベルの抽象化を伴うDoS攻撃を示しています。

攻撃者はエンドサービスをモノリシックソフトウェアとして悪用するだけでなく、実際には、サービスを構成するプロトコルやサブシステムの脆弱性を悪用する可能性があることを強調する必要があります。 このようにして、DoS戦略はより一般的で再利用可能になります。 次のセクションでは、これらの一般的なエクスプロイトのいくつかを確認します。

ただし、多くのユーザーを偽造してDoS攻撃を実行したとしても、コンピューターの数が少ない1人の攻撃者は、生成されるトラフィックの量が非常に制限されています。

これらの制限は、たとえば、ネットワークカードの速度などのハードウェアの制約が原因で発生します。 したがって、このような制限を回避するために、攻撃者は分散型アプローチを使用してDoSを実行し、DDoSと呼ばれます。

2.1. 分散型サービス拒否

DoS攻撃とDDoS攻撃は、使用される戦略と最終的な目的を悪用することに関してはまったく同じです。しかし、複数の分散型の偽造されていないソースを採用すると、多くの面で攻撃がはるかに強力になります。

まず、DoS攻撃がどのように分散されるかを理解しましょう。

基本的に、攻撃者はサービスを利用できないようにする前に、正当なインターネットユーザーの多くのコンピューターに感染する必要があります。 これを行うために、攻撃者はソーシャルエンジニアリング、ワーミング、およびその他の感染技術を介してインターネット上にマルウェアプログラムを拡散します。

このマルウェアは、感染したコンピューターを攻撃者が利用できるボットに変えます。

一般に、DDoSマルウェアはコンピューターシステム内で離散的であり、ユーザーの日常業務に過負荷をかけることはなく、DDoS攻撃が開始されたときにのみ機能します。 そのため、ユーザーがマルウェアの存在に気づき、それを削除しようとするのは困難です。

感染したコンピューター(ボット)のセットは、攻撃者のボットネットを構成します。 したがって、攻撃者は、特定のエクスプロイトと戦略を考慮して、サーバーへの要求を調整された方法で実行するようにボットネットを構成します。

次の画像は、DDoS攻撃を要約したものです。

DDoS攻撃は、一般に、単純なDoS攻撃よりもはるかに効率的です。これは、いくつかの特定の特性が原因で発生します。

  • ソースの軽減と追跡が難しい:DDoS攻撃は複数の場所から発生するため、攻撃者からのリクエストと正当なユーザーからのリクエストを区別することは困難です。
  • 高速と交通量:DDoS攻撃が突然開始され、サービスに損害を与える前にセキュリティシステムが反応してブロックするために利用できる時間が短縮されます。 さらに、DDoS攻撃は、ネットワークトラフィックを大量に送信する可能性があります
  • 洗練された戦略:ボットネットに多数のボットが存在するため、攻撃者はセキュリティシステムを回避するための戦略を立てます。 たとえば、ボットの動作を実際のユーザーと同じようにして、DDoSを自然なサービスの過負荷のように見せようとします。

3. サービス拒否攻撃の手法

前に説明したように、DoSおよびDDoS攻撃には、サービスを利用できなくすることが主な目的です。 この目的を達成するために、攻撃者は通常、2つの特定の目標のいずれかを検討します。ターゲットサーバーのリソースを使い果たして強制的に再起動するか、通信チャネルを過負荷にしてサーバーを分離します。

アルゴリズム的には、攻撃者はプロトコルとサービスの機能を悪用して目的を達成します。 最もよく知られている手法には、SYNフラッド、TTL有効期限攻撃、増幅攻撃、および低レートの標的型攻撃があります。 W eは、次のサブセクションでそれらのそれぞれについて簡単に説明します。

3.1. SYNフラッド

SYNフラッド攻撃(ハーフオープン攻撃と呼ばれることもあります)は、TCPプロトコルの接続確立スキームを悪用します。

この手法の主なアイデアは、実際に接続を確立するための事後確認メッセージを送信せずに、TCPサーバーに多くの同期要求を送信することです。

このようにして、TCPサーバーは、タイムアウトのために接続を切断するまで、偽のユーザーからの確認メッセージをかなりの時間待機します。

ただし、大量の偽のリクエストがサーバーのリソースを消費します。 そのため、過負荷のサーバーは、正当なユーザーからの要求を含む、接続の新しい要求を無視します。

3.2. TTL有効期限攻撃

TTL有効期限攻撃のターゲットは、コアネットワーク内のルーターです。主なアイデアは、特定のルーターでTTLカウンターを期限切れにするパケットを大量に送信することです。

TTLの有効期限が切れるため、ルータは追加の計算リソースを使用して「ICMPtimeexceed」応答を作成および送信します。

同じルーターでTTLを期限切れにするパケットが多数あるため、TTLは過負荷になり、停止または大幅に遅くなり、ネットワークのボトルネックになります。

3.3. 増幅攻撃

増幅攻撃は、被害者のサーバーIPを使用したスプーフィング要求と、それを応答として大量のトラフィックを生成するサービスに送信することで構成されます。

攻撃を増幅するために悪用される可能性のあるサービスの例は、DNSとNTPに基づいています。

DNSシナリオでは、攻撃者はDNSルックアップ操作の応答を悪用して悪意のあるトラフィックを生成します。

NTPの場合、攻撃者は通常、moonlistと呼ばれる操作を悪用します。この操作は、最近NTPサーバーを要求した100のホストに関する情報を送信します。したがって、単純で小さな要求により、大量のデータが転送されます。

3.4. 低率の標的型攻撃

このチュートリアルの他の攻撃手法である一般的な攻撃とは異なり、低レートの標的型攻撃は、非常に特定のサービスの異なる機能を悪用します。

低レートの攻撃には、被害者をネットワークトラフィックで溢れさせる目的はありません。 実際、主なアイデアは、最小限のトラフィックを送信することですが、サービスに最大の影響を与えます。

たとえば、ネットワーク化されたAVサービスについて考えてみましょう。 攻撃者は、AVによってチェックされた多くのシグニチャとパターンを使用してネットワークパケットを偽造できます。 したがって、偽造されたパケットは、通常の状態の平均よりもはるかに多くの計算リソースをAVで処理する必要があります。

AVが異なれば動作も異なる可能性があるため、攻撃者は新しい分析を行い、おそらく別の攻撃パケットを偽造して異種AVサーバーを悪用する必要があります。

攻撃者にとっての主な利点は、低レートの攻撃での正当なユーザーの行動を模倣しやすいことです。 そのため、セキュリティシステムが悪意のあるソースを検出してブロックすることは困難です。

4. 潜在的な結果

前のセクションで、サービス拒否攻撃から最も予想される結果は、サービスを利用できなくすることであることがわかりました。 ただし、DoSおよびDDoS攻撃に関連する他の潜在的な副作用と目的があります。

  • 気晴らし:サービス拒否攻撃は気を散らすものとして使用できます。 たとえば、DDoSは、攻撃者が侵入できるようにする、特定されたシステムの脆弱性の悪用を隠すことができます。
  • データ漏洩:サービスは、過負荷の結果としてデータをリークする可能性があります。 たとえば、過負荷になるとすべてのポートにデータを送信する最初のスイッチで発生しました
  • サービス追跡:単一のサーバーが同時に複数のサービスをホストする場合があります。 これらのサービスの1つをオーバーロードし、サーバーを強制的に再起動すると、ホストされているすべてのサービスが再起動します。 したがって、攻撃者はこの動作を追跡して、隠されたサービスと共有リソースを検出できます。

5. 結論

このチュートリアルでは、サービス拒否攻撃について学習しました。 最初に、DoSとDDoSの両方の基本を確認しました。 次に、サービス拒否攻撃を実行するためのいくつかの手法があることを確認しました。 したがって、特に最もよく知られているもの、つまり、synフラッド、TTL有効期限、増幅、および低レートの標的型攻撃を調査しました。 最後に、(D)DoSの潜在的な副作用の結果を調べました。

デジタルの世界では、サービス拒否攻撃が真の脅威であることに気付くでしょう。 サーバーがインターネットを介してサービスを提供する場合、当然、サーバーはDoSまたはDDoSのターゲットになる可能性があります。

さらに、サービス拒否攻撃を軽減することは簡単な作業ではありません。さまざまな検出方法と対策を必要とするいくつかの異なる(D)DoS手法が存在します。

したがって、ネットワークサービスを常に利用できるようにするには、セキュリティへの多額の投資が必要になる場合があります。