サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ リンク

Web全体 サイト内検索

 セキュリティ予備知識
セキュリティの必要性
攻撃のパターン
トロイの木馬の種類と仕組み
 ファイアーウォール導入編
ファイアーウォールとは?
セキュリティポリシーの策定
パケットフィルタリングとその凡例
Zone Alarmのインストール
Zone Alarmの設定
SygatePersonal Firewallのインストール
SygatePersonal Firewallの設定
SPF 「Advanced Rules」の設定
 セキュリティ強化実践編
NetBIOS over TCP/IPを無効にする
ブラウザのセキュリティ対策
Microsoft Outlookのセキュリティ強化
Spybotによるスパイウェアの駆除
スパイウェアの駆除(文献古いです)
プロキシ(代理)サーバーを利用する
トロイの木馬の駆除
診断サービスを利用する
 ウィルス対策編
ウィルスの基礎知識
 最新ウィルス情報
IPAセキュリティセンター
Symantec Security Response
Trend Micro
McAfee
 セキュリティ診断 関連サイト
PC Flank
Sygate Online Services
Symantec Security Check
Shields Up!!
パーソナルセキュリティ研究所
 FIREWALL DOWNLORD
Zone Alarm
Zone Alarm(日本語化)
ZoneLog Analyser
Sygate Personal Firewall
Agnitum Outpost Firewall
Tiny Personal Firewall
Tiny Personal Firewall(日本語化)
Norton Personal Firewall(体験版)
Kerio Personal Firewall
BlackICE Defender
At Guard
 関連 DOWNLORD
Ad-Aware
Ad-Aware(定義アップデート)
Spybot -S&D
The Proxomitron(日本語サイト)
AVG Anti-Virus
 




クラッカーが行う攻撃は多種多彩です。技術力のあるクラッカーは攻撃のためのツールをWebサイトで公開したりしているので、これらのクラッキングツールを使うとたいした知識がない一般市民でも誰でもクラッカーになれてしまい、ベテランクラッカーと同様の攻撃ができてしまうため、ほとんどのクラッカーは知的好奇心で攻撃を行うことがほとんどです。これらの人たちは俗に「スクリプトキディ」と言われており、深い知識や高度な技術がなくても簡単に攻撃を行なうことができるために、数の上ではクラッカーの大半はスクリプトキディであると言われています。そのため、サーバーを運営しているサイトでは1日に1回以上のアタックの痕跡が検出されることは、ごくごく普通のことです。これらのクラッキング行為にたいして対抗するためにはどのような攻撃がパターンが存在するのかをあらかじめ知っておく必要があります。ここでは、それらの攻撃のパターンについて紹介していくので参考にしてみてください。




■DoS(Denial of Service)攻撃

サービス妨害攻撃のことで、相手のコンピュータを麻痺もしくは、停止させてサーバーを機能させないようにする攻撃のことです。2002年4月にもコンピュータソフトウェア著作権協会(ACCS)が被害を受けましたが、このときに使用された攻撃方法がDoS攻撃です。DoS攻撃は、それ自体は攻撃の名前と言うわけではなく、「サービス拒否攻撃」の総称のことを指しています。では、DoS攻撃にはどのような種類があるのかを以下に説明していきます。下記にあげたものは代表的なものだけで、この他にも数えられないくらい攻撃はたくさん存在します。が、書くのが疲れてきたのでこの程度にしておきました。


種類 攻撃の概要と対策
Mail Bombing
(メールボム)
メール爆弾とも言われています。sendmailの機能を利用して、特定のメールアドレスに連続的に無意味な内容のメールを短期間の内に大量に送りつたり、容量が大きなファイルを送りつけたりする行為のことです。対象となった人は、メールのダウンロードに時間がかかったり、無駄に通信料金を浪費させられたり、大事なメールが受信ができなくなるなどの被害を受けてしまいます。被害がひどいときには、メールボムを受けたメールサーバ自体が処理能力を超えてしまい、サービスを停止させられてしまい、結果的に、他の利用者までに被害が及ぶことにもなってしまいます。

smurf
smurf攻撃は、ネットワーク応答確認用に使用する「Pingコマンド」を悪用したもので、送信元を偽造したICMP Echo Requestパケットを利用し、ICMP Echo Relayパケットを大量にターゲットに送り付ける攻撃です。

まず、通常は特定のターゲットサイトAに存在するブロードキャストアドレス(=ネットワーク内にある不特定多数のコンピュータと通信できる)に向けてPingを実行すると、そのネットワークに接続されているすべてのコンピュータからの返答を自分で受けることになります。しかし、アタッカーはこの際にICMP Echo Requestパケットの送信元のIPアドレスを偽造して、応答パケットをもうひとつのターゲットサイトBのブロードキャストアドレスに対して指定します。そうすることによって、最初に指定したターゲットサイトAのネットワークに存在する全てのコンピュータがターゲットサイトBのブロードキャストアドレスに対して、ICMP Echo Requestを送ることになります。もしも、アタッカーがターゲットサイトAのブロードキャストアドレスに大量にpingを実行した場合は、それに対する応答は増幅された莫大な量のICMP Echo Relayパケットとなってターゲットとなるサイトを攻撃することになるのです。つまり、ここでの被害者は、ICMP Echo Requestを送られたサイトAと、ICMP Echo Relayパケットを受け取るサイトBのふたつのサイトということになります。しかも、サイトAに関しては、自分で攻撃をしかけたわけでもないのに、サイトBにはサイトAが攻撃を仕掛けてきたと思われてしまうので悲惨です。

このサイトAの対処方法としては、ブロードキャストアドレスに向けて送信されたICMP Echo Requestパケットをフィルタリングする(=ICMPパケットに応答しないようにする)ことです。これで自らが攻撃者(つまりICMP Echo Relayを送信してしまうサイト)になることは免れることができます。しかし、ICMP Echo Relayを受け取るサイトBの対策としては確実なものがないのが現状のところです。

SYN flood
SYN floodとは、アタッカーがIP アドレスをなりすまして、SYN(TCP接続要求)をサーバーマシンの処理能力を超えるほど高速に送信することによって実現し、アタックを受けたサーバーは接続処理のためにサービスの処理能力を消費させられてしまいます。この攻撃を理解するためにはTCP/IPの知識が必要となってきますが、TCPはコネクション型のプロトコルであるので、コネクションを確立するためには3つの過程をふまなくてはなりません。これを一般的に「3ウェイハンドシェイク(3Way Handshake)」といいます(詳しくは「TCPとUDP/両プロトコルの相違」を参照してください)。

◎3ウェイハンドシェイク

 ゥライアントが利用したいサービスのポートへSYNパケットを送信する

◆ゥ機璽仟Δ呂修SYNパケットを受けとり、ACKパケットを送信し、同時にSYNパケットも送信する

.クライアントはそれを受けACKパケットを送信してコネクションが確立される


この,鉢△亮蟒腓鮃眤に行うことによってサーバー側は待ち受け状態に陥られてしまいます。わかりやすくいうと、クライアントがSYNパケットを送信すると、サーバー側はSYN/ACTパケットを返し、さらにクライアントがそのACKパケットを受け取り、それをサーバーに返そうとする間はサーバー側は待ち受け状態になります。しかし、仮にそのクライアントからACKパケットが返ってこなければいつまでたっても待ち受け状態になるわけです。クライアント=アタッカーは偽のなりすまされた(Spoofing)IPアドレスを使用しているため、サーバー側は当然、ACTパケットを待ち受けた状態で止まってしまいます(SYN_RCVDで止まった状態)。その間、ACKパケットを待ち受けるために,サーバー側はバッファメモリ上にその情報を確保するためのメモリを消費し、システムのクラッシュやダウンといった症状が発生してしまわけです。しかし現状では、SYN flood によってサーバがクラッシュすることは稀なことです。

対策としてはマイクロ・ブロック、SYN クッキー、RST クッキー、スタックの微調整などがあります。OSにパッチを当てたり、最新版のOSを利用するようにしてください。また、DoS攻撃に対応しているブロードバンドルータや、パーソナルファイヤーウォールソフトを導入するのもひとつの手です。

Ping of Death ネットワークの応答確認用に使用する「Pingコマンド」を悪用して、対象のコンピュータを使用不能にする攻撃手法のこと(死のPing)。「Ping of Death」は1996年に問題が表面化し、1997年7月頃にこのアタックが頻発しています。規定されているサイズよりも遥かに巨大なIPパケット(=理論長が65536バイトを超えるTCP/IPパケット)を連続的に送りつけることによって、対象のコンピュータやルータをクラッシュさせてしまいます。また、pingだけではなく全てのプロトコルで攻撃が可能です。この攻撃には標的となるグローバルIPアドレスさえわかっていれば、コマンドラインで「Pingコマンド」を実行するだけで誰でも行うことができるので、掲示板などで気に入らない相手などにこの攻撃をすることが流行っていました。今では、ほぼ全てのOSがこの攻撃に対処されているか(=つまり、このようなパケット送信はできないようになっています)、もしくはパッチが配布されています。1996年以前のOSを使用している方は、影響を受ける可能性があるので、パッチをあてるか、バージョンアップして対策を施すようにしてください。因みに、Ping of death のパケットは簡単になりすましができてしまうので、送信元のIPアドレスはあてにはなりません。

Nuke かつて猛威をふるった攻撃で、「WinNuke32」というツールを使用することで、攻撃対象に特殊なデータをネットワーク経由で送り、Windows 95のセキュリティホールを突いてマシンを停止させたり、ネットワーク機能を停止させたりします。「Ping of Death」と同様でターゲットとなるIPアドレスさえわかってしまえば、IPアドレスを入力するだけで、誰でも行うことができてしまいます。なお、NukeはWindows 95以前のOSにのみに通用する攻撃であってもはや完全に過去のものとなっています。まだ、Windows95を使っているという人はマイクロソフトが提供するパッチをあてるようにしてください。

Land/Latierra LAND攻撃はSYNを変形させたもので、アタッカーは、ターゲットとするサーバのアドレスを送信元IPアドレスと送信先IPアドレスに設定(偽造)して、大量のSYN(接続要求)を送信します。これによってサーバーはSYN/ACTを返しますが、送信元IPアドレスにサーバーマシンのIPアドレスが指定されているために、サーバーマシンは自分自身との接続のオープンを試みるようになります。SYN/ACTパケットを返す宛先は自分自身になっているので、システムは無限にループを繰り返す状態に陥ります。最終的には接続がタイムアウトになり、この解決を試みている間、サーバーマシンはハングアップしたような状態になるか、 または処理速度が極度に遅くなったりします。 アタッカーはそのようなパケットを定期的に送り、 システムをスローダウンさせます。 このアタックには種々の変種があり、例えば "La Tierra" は、この問題を修正するためのパッチを回避しようとします。対策としては、パッチが提供されているのでそれを利用するようにしてください。またその他にも外部から内部のIPアドレスを指定したパケットをフィルタリングする対策がとられています。

TearDrop UDPパケットの内部情報を偽造することで、相手マシンをダウンさせる攻撃。





 

Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー