amp/reflection ddos attack
Published: 2014/04/29
あいかわらずDNS amp、NTP ampなどのtraffic volumeに頼った単純で古典的なDDoSがいろいろな場所に影響を与えているようです。
観測ポイントのハニーポットでもNTP ampに関しては、このように増加を続けています。
増幅と攻撃元の隠蔽ということで、基本的には10年以上前からある手法のバリエーションですが、細かいところでいろいろな改善や工夫が行われています。
最近でも次に利用できる効果的な手法を探しているのか、これら古いDDoSに関連するトラフィックを観測しています。
たとえば古典的な手法ではUDP 7(echo)を利用して、reflectionさせて攻撃するという単純なものがありましたが、よほど古いシステムか意図的に(または間違って)利用可能にしておかない限りは最近ではこのサービスを利用できないようになっていますので、あまり観測されません。
UDP 19(chargen)は接続すると、適当な文字を生成して送信する機能であり、昔からDoSに利用されてきました。このサービスもよほど古いシステムでないかぎり使うことはできませんが、今でもこのように常時パケットが届きます。
古いシステムでこのサービスが利用可能になっているものが存在し、いまでも攻撃利用可能なのかもしれません。
UDP 161 (snmp)はネットワークデバイスやサーバーのソフトウェア、システムの情報を管理、監視する為のプロトコルです。OIDとcommunityを指定してmibの値を取得しますが、全mib情報を取得することにより大量のデータを発生、受信することになります。ハニーポットの観測情報でも量的には多くないですが増加傾向です。
reflection attackに利用される場合とシステム情報を盗まれるリスクもあるので、意図せずsnmpdが起動していないかの確認と、ルーターやサーバーでsnmpを利用して監視をしている場合は、アクセス制御によりsnmp情報にアクセスできるIPアドレスを限定すること、communityを単純なものにしないなどの対策が必要です。
昔は脆弱なシステムが多かったですが現状は少ないのかもしれません。継続的に観測が必要でしょう。
DDoSは金銭目的の脅迫への利用や、政治問題、思想的な問題を背景行われるものなども見られますが、それ以外に昔からあるもっと雑多なネット上でのいざこざが原因になっているものや、それらの攻撃の残骸による間接的な被害など、原因をさぐるとそのようなことのためにコストを掛けて対策するのが悲しくなるようなものが多いです。traffic volumeで攻める単純なDDoSは目立ちますが、パケット1発で落とすものなども多々ありますし、攻撃の種類により、その対策のための手法も異なります。
発生原因はともかくシステムやサービスへ影響がでないように、さまざまな防御策が必要になります。
同時に、このような攻撃の踏み台に利用されているシステムを改善すること、踏み台にされないように防御できる仕組みを提供していくことも必要です。
by jyake