「DoS 」はこの項目へ転送 されています。コンピュータのオペレーティングシステムについては「DOS (OS) 」を、その他の用法については「DOS 」をご覧ください。
DoS攻撃 (ドスこうげき、英 : denial-of-service attack )は、情報セキュリティ における可用性 を侵害 する攻撃 手法のひとつ。
ウェブサービス を稼働しているサーバ やネットワーク などのリソース (資源)に意図的に過剰な負荷をかけたり脆弱性 をついたりすることでサービス を妨害する。
概要
DoS攻撃には2種類の類型があり、第一の類型はウェブサービス に大量のリクエストや巨大なデータ を送りつけるなどしてサービスを利用不能にするフラッド攻撃 (Flood=「洪水 」)であり、第二の類型はサービスの脆弱性 を利用する事でサービスに例外処理をさせるなどしてサービスを利用不能にする攻撃である[ 1] [ 2] 。
攻撃の目的
DoS攻撃の主な目的はサービスの可用性 を侵害する事にあり、具体的な被害としては、トラフィック の増大によるネットワークの遅延、サーバやサイトへのアクセス不能 といったものがあげられる[ 3] 。
しかしDoS攻撃は被害者に経済的ダメージを負わせる事を目的として行われる場合もあり、EDoS攻撃 (Economic DoS Attack) と呼ばれる。たとえば、クラウド上で従量課金されているサービスにDoS攻撃を仕掛ければ、サービスの運営者に高額な課金を発生させることができる[ 4] 。
DDoS攻撃
図:Stacheldraht によるDDoS攻撃
フラッド型のDoS攻撃には、大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃 (ディードスこうげき、分散型サービス妨害攻撃 、英 : Distributed Denial of Service attack )という類型がある。
DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である[ 5] 。
DDoS攻撃の類型は2つあり、第一のものは攻撃者が大量のマシン(踏み台 )を不正に乗っ取った上で、それらのマシンから一斉にDoS攻撃を仕掛ける協調分散型DoS攻撃 である。
第二の類型は、DRDoS攻撃 (Distributed Reflective Denial of Service attack 。DoSリフレクション攻撃 、分散反射型DoS攻撃 )[ 6] [ 7] と呼ばれる。DRDoS攻撃では、攻撃者が攻撃対象のマシンになりすまして大量のマシンに何らかのリクエストを一斉に送信する。するとリクエストを受け取ったマシン達は攻撃対象のマシンに向かって一斉に返答を返すことになるので、攻撃対象のマシンには大量の返答が集中し、高負荷がかかることになる[ 8] 。DRDoS攻撃は協調分散型DDoS攻撃と異なりマルウェア などで踏み台を乗っ取らなくても実行可能なため攻撃が発覚しづらい。
主なDRDoS攻撃として、Domain Name System を利用したDNSアンプ攻撃 (DNS amplification attacks 。DNS amp攻撃、DNSリフレクター攻撃、DNSリフレクション攻撃とも)[ 8] や ICMP echo を利用したSmurf攻撃 などがある。
DRDoS攻撃に使える主なプロトコルとして、TCPのSYN、ACK、DATA、NULL、ICMPのECHO Request、Time Stamp Request、Address Mask Request、およびUDP、IP pkt (low TTL)、DNS query がある[ 9] 。
NetBIOSネームサーバやRPCポートマップなどへのリクエストを利用する攻撃も観測されている[ 10] 。
協調分散型DDoS攻撃とDRDoS攻撃が組み合わされることもある[ 11] 。
攻撃手法
フラッド型のDoS攻撃は、ウェブ上に公開されている様々なサービスに対して行うことができるので、攻撃対象となるサービスごとにフラッド攻撃が存在する。
SYNフラッド攻撃
TCPの3ウェイ・ハンドシェイク では2つのマシンA,BがTCP接続をする際、Aが通信要求SYNパケットを送信し、BがSYN/ACKパケットを送信し、最後にAがACKパケットを送るという手順をたどる。
SYNフラッド攻撃では攻撃者が攻撃対象のマシンに対しSYNパケットを大量に送りつけ、それらすべてに対するSYN/ACKパケットを攻撃対象に発行させる。しかし攻撃者はそれらのSYN/ACKパケットに対しACKパケットを返信しない。
これにより攻撃対象はタイムアウトになるまでいつまでもACKパケットを待ち続けることとなり、リソースを食いつぶされてしまう。
対策としてはRFC 4987 にファイアーウォール やプロキシ の利用といった一般的手法の他、SYN cookies 、TCP half-open (英語版 ) 、SYN Cacheといった手法が記載されている。
ICMPとUDP
ICMP やUDP のようなコネクションレスのサービスでは発信元の偽装が容易 なので、DoS攻撃を行う攻撃者にとって身元がわかりにくいという利点がある。
ICMPを利用したものにはICMP echo request (を利用したping )を攻撃対象に大量に送り続けるICMP echoフラッド攻撃 (pingフラッド攻撃)や、踏み台にICMP echo requestをブロードキャストする事でICMP echo replyを攻撃対象に集めるDRDDoS攻撃であるSmurf攻撃 がある。
他にも規格外の大きなサイズのICMPパケットを送りつける事で攻撃対象をクラッシュさせるping of death という攻撃がかつてあったが、1996年に発見されて以降この脆弱性は防がれているため、この手法はほぼ通用しなくなっている。
UDPに対してもUDPポートに対して大量のトラフィックを送信するUDPフラッド攻撃 (英語版 ) があり、UDPを利用したDRDDoS攻撃をUDPベース増幅攻撃 (UDP-Based Amplification Attack)と呼ぶ。
UDPベース増幅攻撃の中でもNTP の実装であるntpdのmonlist コマンドを使った攻撃は増幅率が高く、19倍から206倍の増幅率に達する[ 12] 。このコマンドはNTPサーバが過去にやり取りしたアドレスを最大で600件返すものであり、ntpdにおけるコマンドを利用した攻撃が2013年に観測されている[ 13] [ 14] 。なおntpdのバージョン4.2.7p26以降はこのコマンドを悪用できないよう修正されている[ 13] 。
この他にもSSDP やRIPv 1を利用したUDPベース増幅攻撃がある[ 15] [ 16] 。
ブラウザの再読み込み
ウェブブラウザ に備わっているページの再読み込み機能を使用し、Webサーバ に大量にリクエストを送りつける攻撃はF5アタック (F5攻撃 )と呼ばれることがある。この名称は、「F5キー を連打する攻撃」であることに由来する。
Windows 上で動作するウェブブラウザでは、F5キーが更新機能に割り当てられていることが多いため、F5キーを押下するたびにWebサーバにリクエストが送られることになる。
なお、Ctrl+RでもF5アタックと同じリクエストを送ることができる。
その他
スローなHTTP 系:長時間にわたってWebサーバがコネクションを維持してくれることを悪用して能力を浪費する[ 17] 。次の攻撃がある[ 18] 。
Slow HTTP Headers(Slowloris )
Slow HTTP POST(RUDY:R-U-Dead-Yet?)
Slow Read DoS
メールボム:サイズの大きいメールや大量のメールを送り付ける手法。
HTTP GET/POSTフラッド:HTTPの規格には準拠しているが負荷のかかるリクエストを大量にWebサーバー宛てに送る。
TeardropおよびLand攻撃 :かつてTCP/IP実装にあった脆弱性[ 19] を利用した攻撃。前者は分割されたIPパケットを再統合する際パケットの重複をうまく扱えない実装上の問題を利用した攻撃、後者は攻撃者が送り主と送信先を一致させたパケットを送りつけると無限ループにはまるなどの脆弱性を利用した攻撃[ 19] 。
WinNuke (英語版 ) かつてMicrosoft Windows の「NetBIOS over TCP/IP」に在った脆弱性が攻略された。
攻撃ツール
荒らしプログラムとは、主にWeb 掲示板 を荒らすために作られたプログラムを指すが、内容としてはHTML の解析やHTMLFORMの送信機能を備え、連続投稿を可能としたHTTP クライアントで、DoS 攻撃プログラムに準じている。F5アタック がWebブラウザ からのGETメソッドによるhttpアクセスしか出来ないのに対し荒らしプログラムは様々なメソッドにおいてのアクセスを可能としている。また前述したDDoS に準じ、踏み台 となったサーバからの一斉攻撃を行うものもある。少しHTMLの知識があれば使える物や、アドレスを入力するだけで使えるようになる(自動解析)ツールも存在する。主にPerl によって記述されるが、これも踏み台 とされたサーバでの利便性を考えたものである。コマンドで、ping -n ○○(回数)-l (1~65500) ipアドレス を入力することで、多少の負荷はかけられるが、大した攻撃にはならない。
LOIC は、アノニマス の常套手段となっていた。例えば2010年ペイバック作戦 においても使われた。
HOIC(High Orbit IonCanon )は、LOIC の後継として2010年ペイバック作戦 の時期に開発された。
Slowloris は、Slow HTTP Headers攻撃を再現する。
Stacheldraht (独:「有刺鉄線」の意)は図に示すように、踏み台側のエージェントと、エージェントを操るハンドラーと、攻撃者がハンドラーを操るクライアントから成るDDoS攻撃ツールである。
イギリスのGCHQ は、`PREDATORS FACE'と`ROLLING THUNDER'というDDoS攻撃ツールをもっている[ 20] といわれている。
田代砲 はhttpリクエストを連続送信するスクリプトを組み込んだ極めて単純な攻撃ツールの一例である。メガ粒子田代砲や連装田代砲などのより攻撃的な亜種も多数開発された。
:loop ping IPaddress -l 65500 -w 1 -n 1 goto :loop
MHDDoS は、現在ITエンジニアやハッカーの間では有名なDDoSツールである[ 21] 。フォークが多く、数々の拡張版も存在する。更新が2年前ということで対策がされていることも多い。同様のツールとして、"Karma-DDoS"が存在する。
上記の派生版として、ウクライナIT軍が作った"MHDDoS-Proxy"[ 22] や、北朝鮮 などの東側勢力 や宗教勢力 が攻撃対象の反西洋主義者DDoSツール がある。いずれもプロキシの自動更新や他のDDoSツールの攻撃手法を組み込むなどして、防御手段を巧みに回避している。
他のツールとしては、バングラデシュのハッカー集団が使っている"Raven Storm"や他の攻撃ツールをパッケージにした"UFONet"といったツールも存在する。ウクライナIT軍が使用している"db1000"が存在する。
防御技法
この節の
加筆 が望まれています。
(2015年12月 )
各サイトにおける防御技法
侵入防止システム (IPS: Intrusion Prevention System)には、シグニチャに基づく防御機能と閾値に基づく防御機能が実装されている。シグネチャに基づく防御機能は、Smurf攻撃やLand攻撃のように特徴あるパケットに対して有効であったが、プロトコル実装側の脆弱性もすでに解消されている。
SYNクッキー は、SYNフラッド等への対策として各OSごとに開発され、それぞれのプロトコルスタックに実装されている。
WAF(Web Application Firewall)には、スローなHTTP系の攻撃に対する設定を行える。WebサーバについてはQoS やタイムアウト についての設定も見直す価値がある。
インターネットサービスプロバイダにおける防御技法
攻撃の副作用
バックスキャッター
コンピュータネットワークセキュリティでは、スプーフィングされたDoS攻撃の副作用としてバックスキャッターが発生する。この種の攻撃では、攻撃者は被害者に送信されたIPパケットの送信元アドレスをスプーフィング (偽造)する。一般に、被害者のマシンはなりすましパケットと正当なパケットを区別できないため、被害者は通常どおりになりすましパケットに応答するが、この応答がバックスキャッターと呼ばれる[ 25] 。
攻撃者が送信元アドレスをランダムにスプーフィングしている場合、被害者からのバックスキャッター応答パケットはランダムな宛先に送信される。バックスキャッターの観測は、DoS攻撃の間接的な証拠となる。
「バックスキャッター分析」とは、IPアドレス空間の統計的に有意な部分に到着するバックスキャッターパケットを観察して、DoS攻撃と被害者の特性を判断することである。
事件
MafiaBoy
2000年2月にカナダ 人の15歳の少年が6日間にわたってボットネット でYahoo! やCNN やAmazon.com などの人気が非常に高いサイトに対してDDoS攻撃を行い、ターゲットにしたサイトをサービス不能状態に陥らせ、自身の行動をインターネット上のIRC チャットルームで吹聴し、逮捕された。この事件は国際的に大きく取り上げられた。
米国 Yahoo!
パソコンを利用した踏み台は、一台当たりの計算・通信能力は低いが、膨大な数が利用される事から、従来のサーバを利用したDDoS攻撃よりも甚大な被害を発生させやすい。有名なものとして2002年2月に米国 のYahoo! がこの攻撃を受け、アクセス不能になるという被害を受けている。また特に大規模な感染事件を引き起こすコンピュータウイルスのなかには、当初よりDDoS攻撃を意図して設計されたと推察されるものも見られ、2002年頃から活動が確認されているコンピュータウイルスによって形成された攻撃用パソコンネットワークにより、企業脅迫事件の発生が危惧されている。
コスタリカ ブックメーカー等
2004年前後には、ブックメーカー (公的な賭けを取りまとめている企業・団体等)のサイトが攻撃をうけ業務を妨害され、脅迫された事件[ 26] や、英国の大学生が学費の捻出に一案を講じて莫大な利益を生んだMillion Dollar Home Page が脅迫を受けたケース も報じられている。
ニコニコ動画(β)
2007年2月20日からDDoSによる攻撃を受けて正常に運営できる状態ではなくなり、同年2月22日からサービスを一時停止する事態となった[ 27] [ 28] 。
2ちゃんねる(現・5ちゃんねる )
同掲示板サイトは度々DoS攻撃の標的にされており、中でも大規模なものが2010年3月、バンクーバーオリンピック の時期に起きている。韓国語ネットコミュニティ「ネイバー 」や「ダウム」上から2ちゃんねるに対して攻撃が呼びかけられ、これにより一部のサーバーがダウンの後故障し、データが失われた。2chのサーバーが設置されている米国 カリフォルニア州 のデータセンター運営企業(Pacific Internet Exchange )は「米国公的機関に対し、米国企業に対するサイバーテロ として調査依頼する準備をしている」[ 29] と発表した。
岡崎市立中央図書館事件
DoS攻撃とは到底呼べないような通常の「常識的」で「礼儀正しい」設計のクローラ が原因であっても、極端に脆弱なシステムにおいては問題を引き起こす場合がある。2010年5月のこの事件はその代表的な例であり、三菱電機インフォメーションシステムズ の致命的な不具合をもつシステム、その不具合を認めない岡崎市立中央図書館 、警察担当者の無知および自白の強要が重なり、逮捕勾留に至る[ 30] 結果となった。この事例の法的な見解については、2010年7月時点では未だ議論の対象[ 31] となっている。
アノニマスによるペイバック作戦
2010年9月にアノニマス によって、インターネット上の不正コピー行為に対応する団体等に対してDDoS攻撃が行われた。引き続いて2010年12月、アノニマスは、ウィキリークス への寄付受付を停止した銀行やクレジットカード決済会社のWebサイトに対してDDoS攻撃を実行した(作戦名:アサンジの復讐作戦)[ 32] 。
ソニーのプレイステーションネットワーク
2011年4月、アノニマスはソニーのインターネット配信サービス「PlayStation Network 」のサーバに対してもDDoS攻撃を放った[ 33] 。
Dynサイバーアタック
2016年10月21日、大手ウェブサイトなどのドメイン管理システムを運営しているインターネット管理企業Dyn (企業) (英語版 ) に対して、断続的なDDoS攻撃が行われた。結果、Amazon.com 、Paypal 、Netflix やTwitter 、Reddit 、Spotify 、Gov.UK(英国政府ウェブサイト)、ニューヨーク・タイムズ 、ウォール・ストリート・ジャーナル など多くのウェブサイトサービスがオフラインになるなどの支障が出ていた[ 34] [ 35] 。セキュリティー企業などによると、今回の攻撃はセキュリティの弱い監視カメラ 、ルーター 、プリンター などのIoT 機器を乗っ取るマルウェア Mirai によって引き起こされ、1.2テラビット毎秒 の通信負荷がかけられたものとみている[ 35] [ 36] 。
GitHub
2018年3月1日、GitHub に対して、最高1.35テラビット毎秒 の断続的な攻撃が行われたが、Akamai のDDoS軽減サービスを使用することによって、無効化することに成功した[ 37] 。
関連項目
脚注
^ “ネットワークセキュリティ関連用語集(アルファベット順)「DoS attack (Denial of Service attack: サービス妨害攻撃)」 ”. IPA. 2016年7月25日 閲覧。
^ “Dos/DDoS 対策について ”. 警察庁技術対策課 (2003年6月3日). 2016年7月25日 閲覧。
^ “Security Tipかいづかはると ” (2013年2月6日). 2015年12月19日 閲覧。
^ “EDoS攻撃 ”. IT用語辞典 e-words. 2016年7月25日 閲覧。
^ ウィリアム・スターリングス『Foundations of Modern Networking: SDN, NFV, QoE, IoT, and Cloud』Addison-Wesley Professional、2015年 ISBN 0134175395
^ Christian Rossow. “Amplification Hell: Revisiting Network Protocols for DDoS Abuse ” (PDF). Internet Society. 2015年12月23日 閲覧。
^ Taghavi Zargar, Saman (November 2013). “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks ”. IEEE COMMUNICATIONS SURVEYS & TUTORIALS. pp. 2046-2069. 2015年12月20日 閲覧。
^ a b “DRDoS攻撃 【 Distributed Reflection Denial of Service 】 DoSリフレクション攻撃 ”. IT用語辞典 e-words. 2016年7月25日 閲覧。
^ “インターネット情報インフラ防護のための技術調査調査報告書 ”. IPA ISEC. 2016年7月25日 閲覧。
^ “Akamai Warns Of 3 New Reflection DDoS Attack Vectors ”. Akamai (2015年10月28日). 2015年12月29日 閲覧。
^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (December 2004). “Distributed Denial of Service Attacks” . The Internet Protocol Journal 7 (4): 13-35. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html .
^ @IT「DNSよりも高い増幅率の「理想的なDDoSツール」:NTP増幅攻撃で“史上最大規模”を上回るDDoS攻撃発生 」 2016年9月28日閲覧。
^ a b @IT「悪用した攻撃も2013年12月に観測:増幅攻撃はDNSだけではない――NTPサーバーの脆弱性に注意喚起 」2016年9月28日閲覧。
^ “ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起 ”. JPCERT/CC (2014年1月15日). 2015年12月23日 閲覧。
^ 高橋 睦美 (2015年10月21日). “ハードルがますます下がるDDoS攻撃、経路途中での防御を追求するアカマイ” . @IT . https://atmarkit.itmedia.co.jp/ait/articles/1510/21/news062.html 2015年12月24日 閲覧。
^ “Alert (TA14-017A) UDP-Based Amplification Attacks ” (2014年1月17日). 2015年12月28日 閲覧。
^ “Slow HTTP DoS Attack に対する注意喚起について ” (PDF). @police (2015年12月16日). 2015年12月19日 閲覧。
^ David Senecal (2013年9月12日). “Slow DoS on the Rise ”. Akamai. 2015年12月19日 閲覧。
^ a b “CA-1997-28: IP Denial-of-Service Attacks ”. CERT/CC (1997年12月16日). 2015年12月19日 閲覧。
^ Glenn Greenwald (2014年7月15日). “HACKING ONLINE POLLS AND OTHER WAYS BRITISH SPIES SEEK TO CONTROL THE INTERNET ”. The Intercept_. 2015年12月25日 閲覧。
^ “Magic Network Monitoring DDoS testing guide ”. Cloudflare . 2024年6月11日 閲覧。
^ https://itarmy.com.ua/instruction/?lang=en#custom
^ “送信元 IP アドレスを詐称したパケットのフィルタリング ”. JPCERT/CC (2005年8月17日). 2015年12月26日 閲覧。
^ 齋藤衛「DoS攻撃:3.1 DoS/DDoS攻撃対策(1)~ISPにおけるDDoS対策の現状と課題~ 」『情報処理』第54巻第5号、情報処理学会 ; 1960-、2013年4月、468-474頁、ISSN 0447-8053 、NAID 40019679402 。
^ “Backscatter Analysis (2001) ”. Animations . Cooperative Association for Internet Data Analysis . December 11, 2013 閲覧。
^ 浅川 佳秀 訳『サイバー・クライム』講談社、2011年。ISBN 4062166275 。
^ “ニコニコ動画(β) | サービス一時停止のお知らせ ”. ニコニコ動画 . ニワンゴ (2007年2月23日). 2007年2月23日時点のオリジナル よりアーカイブ。2021年7月3日 閲覧。
^ 三柳英樹 (2007年2月23日). “「ニコニコ動画」にDDoS攻撃、サービスを一時停止 ”. INTERNET Watch . インプレス . 2021年7月3日 閲覧。
^ https://www.itmedia.co.jp/news/articles/1003/02/news070.html
^ 岡崎図書館事件まとめ
^ 情報ネットワーク法学会 - 第1回「技術屋と法律屋の座談会」
^ “Operation Payback - Part of a series on Anonymous ”. know your meme. 2015年6月26日 閲覧。
^ “ソニーはなぜハッカーに狙われたのか、「アノニマス」の正体 ”. 東洋経済ONLINE (2011年6月8日). 2016年1月1日 閲覧。
^ 米で大規模サイバー攻撃 ツイッターやアマゾン被害 ネット基盤サービス狙う (日本経済新聞 )
^ a b 米国で「大規模DDoS攻撃」発生:Netflix、Twitter、Spotifyがダウン (WIRED (雑誌) )
^ Woolf, Nicky (2016年10月28日). “DDoS attack that disrupted internet was largest of its kind in history, experts say” (英語). The Guardian . ISSN 0261-3077 . https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet 2016年10月28日 閲覧。
^ [1] 、2018年9月24日閲覧。
外部リンク