Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DoS/DDoS攻撃

hiro
December 22, 2018

 DoS/DDoS攻撃

hiro

December 22, 2018
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. アジェンダ 1 DoS攻撃とは 2 DoS攻撃の手法 3 TCPの攻撃、UDPの攻撃 4 Ramson DDoS

    5 DoS攻撃の確認方法 6 被害に遭った場合 2 ▪参考情報 ・DDoS攻撃・DoS攻撃のやり方 | フラッド型と脆弱性型の攻撃手法(2018-03-29) https://blogs.mcafee.jp/dos-ddos-attack-type ・TCP/IPに係る既知の脆弱性に関する調査報告書(2010年11月) https://www.ipa.go.jp/security/vuln/documents/vuln_TCPIP.pdf ・wizSafe Security Signal 2018年9月観測レポート(2018-10-31) https://wizsafe.iij.ad.jp/2018/10/470/ ・知っているようで意外と知らない、DDoSの基礎知識(2018-08-01) https://qiita.com/ueyasu/items/064839f9289c3db63c26
  2. 4 DoS攻撃とは ▪DoS攻撃とは DoS攻撃のDoSとは「Denial of Service」を略したもの。 ・攻撃対象に大量のパケットを送付することによって攻撃対象の サーバ資源(リソース)やネットワーク帯域を枯渇。 ・WebAPやネットワーク機器等の脆弱性を悪用して利用不能に。 攻撃対象のサービス提供を妨害する攻撃のこと。

    ▪DDoS攻撃、DRDoS攻撃 DDoSとは「Distributed Denial of Service」の略。 ・分散した複数のボットから攻撃対象に大量のパケットを一斉に 送信するDoS攻撃⇒DDoS攻撃 DRDoSとは「Distributed Reflective Denial of Service」の略 ・リクエスト(問合せ)に対して大量のレスポンス(返答)を返す プロトコルの脆弱性がある機器でパケットを増幅させて攻撃 対象に送りつける攻撃⇒DRDoS攻撃
  3. 6 DoS攻撃の手法 アプリケーション層 HTTP GET/POST フラッド攻撃 Slow HTTP攻撃 リフレクション攻撃 (DNS/NTP/memcachedアンプ攻撃)

    トランスポート層 TCPを狙った攻撃 SYNフラッド攻撃 UDPを狙った攻撃 UDPフラッド攻撃 ネットワーク層 ICMPを狙った攻撃 ICMPフラッド攻撃 LAND攻撃 ▪「フラッド型」と「脆弱性型」 フラッド型は、意図的に大量のパケ ットを攻撃対象に送付。 ↓ サーバやネットワークが過負荷 ↓ サービス妨害 脆弱性型は、サービスやプロトコル の脆弱性を悪用。 ↓ サービスで例外処理(異常終了) ↓ サービス妨害 ・DDoS攻撃・DoS攻撃のやり方 | フラッド型と脆弱性型の攻撃手法(2018-03-29) https://blogs.mcafee.jp/dos-ddos-attack-type
  4. 7 2018年のDDoS攻撃動向 ▪2018年第2四半期以降の動向 「UDPフラッド」「アンプ(増幅)攻撃」などの DDoS攻撃増加、「SYNフラッド攻撃」縮小。 ・宛先ポート80/TCPを利用したSYN/ACKリフレクター攻撃とみられる観測等について(2018-11-30) https://www.npa.go.jp/cyberpolice/detect/pdf/20181130.pdf ・2018年2QのDDoS攻撃が3割減 - 一方で「UDPフラッド」など増加(2018-10-23)

    http://www.security-next.com/098871 ・上位ISPで発生したとみられる通信障害についてまとめみた(2018-10-05) http://d.hatena.ne.jp/Kango/20181005/1538765619 ・FINAL FANTASY XIVへのDDoS攻撃による接続障害についてまとめてみ(2018-10-28) http://d.hatena.ne.jp/Kango/20181028/1540749883 日付 被害が確認されたサイト 10/04 FF14、メルカリ、さくらインターネット 10/05 Yahoo!Japan、PIXIV、価格.com 10/25 保守速報、もえるあじあ、アノニマスポスト 10/27 netgeek 10/29 niconico、はてな、さくらインターネット
  5. 9 TCPの攻撃(SYN Floodの例) ▪SYNフラッド攻撃 SYNフラッド攻撃では、送信元IPを攻撃対象に詐称したパケット を送付する。(詐称されたIP自体が存在せず、ACKも送られない) 接続先 (攻撃対象) 攻撃者 ①SYNパケット

    ②SYN/ACKパケット ③ACKパケット バックログ キュー ACKが送られない ので、キューが消え ず一杯になる。 詐称 接続先 SYN 詐称 接続先 SYN/ACK 接続先 ACK 詐称され た送信元 詐称
  6. 12 ランサムDDoS DDoS攻撃を仕掛けることの引き換えに金銭を要求する「ランサ ムDDoS」とも言うべき脅迫メールが送付された事案を確認 (2017年6月と2017年9月) ▪ランサムDDoS攻撃 ・Armada Collective を名乗る攻撃者からの DDoS

    攻撃に関する情報 (2017-06-29) https://www.jpcert.or.jp/newsflash/2017062901.html ・Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報 (2017-09-10) https://www.jpcert.or.jp/newsflash/2017092101.html
  7. 17 ▪netstatコマンドでの確認 被害に遭った場合(1/2) ・SYN Flood攻撃では、パケットを大量に受け取った状態となるので、 SYN_RECV(SYN_RCVD、SYN_RECIEVED)が表示される。 送信元IPを 特定し、フィルタ する対応も検討 ・What

    is SYN Flood Attack? Detection & Prevention in Linux (2018-12-08) https://linoxide.com/firewall/snapshot-syn-flood-attack/ ・nginx - カーネルパラメーターのチューニング(2018-05-24) https://qiita.com/sion_cojp/items/c02b5b5586b48eaaa469 Linuxの場合は、 ・SYNバックログを増やす。 ・SYN_Cookieを有効に。 Windowsの場合は、 SynAttackProtection機能が デフォルトで有効(2003SP1以降)