cNotes 検索 一覧 カテゴリ

12月のDDoS

Published: 2007/12/05

年末年始に向けてか、12月に入ってDDoSが増加している傾向が見られます。

botが利用されているだけではなく、相変わらずwebサーバーやホスティングサイトがproxy化、bot化されて踏み台になっているものも多そうです。

攻撃手法的には、最近はこの3つが目立ちます。(2007年通じて多い)

  • UDP frangement packet flood
 UDPのフラグメントパケットによるflooding
 UDP port情報が正しく見えないので単純なパケットフィルタでは止まらない。
 frag等まで意識したパケットフィルタが必要。Firewallなどでは止められる。
  • UDP flood(53ポート向け)
 DNSが利用するUDP53番ポートを狙ったDDoS。
 DNSが利用するUDP53番ポートはフィルタかけにくいことを狙っているんでしょう。
 Query floodと混同されることが多いが、あくまでもUDP53番向けのUDPパケットでデータ部分はデタラメ。
 今年の2月にもROOT DNSへの攻撃が発生したが、これもUDP flood。bind等がUDP53向けのパケットのデタラ
 メなデータ部分をDNS request queryのパケットフォーマットに当てはめて、必死で読み取ってレスろうと
 するのでquery floodと捉えることもできるが、それはbind等のDNSのつくりがいけてないだけではと思う… 
 「Malformed DNS Query」ってたしかにそうだが、要はデタラメデータ。
 DNSサーバーを運用していないなら止めやすいが、request queryのソースポートが53番なクライアント
 がいるとフィルタで止めづらいかも…。
  • IGMP flood
 壊れたIGMPパケットによるflooding。(IGMPだけどそれ以外のヘッダ情報は100%デタラメ…)
 通常IGMPはマルチキャスト通信を利用している直接接続された装置間のP-to-Pでしか用いられないので外
 部NWから到達するこの攻撃はパケットフィルタにより止めることは可能。ただしIGMPパケット処理に脆弱
 性のあるNW装置(C社のルータとか一部のOS)を攻撃対象としているものと思われるのでそのような装置、
 OSに関してはバージ ョンアップ等の対策が必要です。

 DDoSの多くは「日本vs中国」、「日本vs韓国」で行われており、どちらかの国が一方的に攻撃されているわけではなく、撃たれたら撃ち返すということが延々と繰り返されています。ただし、見たまま「日本人が韓国のサイトを攻撃している」、「韓国人が日本を攻撃している」というだけではなく、「日本人が日本を攻撃している」ことも、「韓国人が韓国を攻撃している」ことも、「それ以外の国の人間が行っている」こともあり得ます。あくまでも攻撃元と被害者のインターネット上の関係が上記の「国vs国」の関係に見えるだけ。botを利用するのは攻撃元を隠蔽するという目的も大きいので、見たままの状況はあくまでもトラフィックの流れのみの意味しかないことを忘れてはいけないでしょう。原因やその裏側の事情を短絡的に「これらの国家間のサイバー戦争(?)だ!」などとは思わないほうが良いでしょう。

攻撃には意図のあるものもありますが、攻撃に利用されたbotが迎撃されたり(被害を受けるのは踏み台にされている第三者…)、単純に中国、韓国のアングラなサイトや掲示板を読んだり、ツールをダウンロードするだけでDDoSの対象になってしまい、そこに記録されたIP addressだけではなく、そのまわりのIPアドレス(10.0.0.1なら10.0.0.0/24の範囲)とか、そのIPへtracerouteした結果表示されるアドレス(途中のルータなど)が攻撃の対象になるので、当事者ではなく、ISPや、無関係なまわりの人が迷惑を被ることが大きな問題です。

こういったDDoSよるトラフィックが常時流れているインターネットトラフィックのひとつになってしまっているのが不毛な感じです。

[カテゴリ:botnet観察日記]

by jyake