| 種類 |
攻撃の概要と対策 |
Mail Bombing
(メールボム)
|
メール爆弾とも言われています。sendmailの機能を利用して、特定のメールアドレスに連続的に無意味な内容のメールを短期間の内に大量に送りつたり、容量が大きなファイルを送りつけたりする行為のことです。対象となった人は、メールのダウンロードに時間がかかったり、無駄に通信料金を浪費させられたり、大事なメールが受信ができなくなるなどの被害を受けてしまいます。被害がひどいときには、メールボムを受けたメールサーバ自体が処理能力を超えてしまい、サービスを停止させられてしまい、結果的に、他の利用者までに被害が及ぶことにもなってしまいます。
|
smurf
|
smurf攻撃は、ネットワーク応答確認用に使用する「Pingコマンド」を悪用したもので、送信元を偽造したICMP
Echo Requestパケットを利用し、ICMP Echo Relayパケットを大量にターゲットに送り付ける攻撃です。
まず、通常は特定のターゲットサイトAに存在するブロードキャストアドレス(=ネットワーク内にある不特定多数のコンピュータと通信できる)に向けてPingを実行すると、そのネットワークに接続されているすべてのコンピュータからの返答を自分で受けることになります。しかし、アタッカーはこの際にICMP
Echo Requestパケットの送信元のIPアドレスを偽造して、応答パケットをもうひとつのターゲットサイトBのブロードキャストアドレスに対して指定します。そうすることによって、最初に指定したターゲットサイトAのネットワークに存在する全てのコンピュータがターゲットサイトBのブロードキャストアドレスに対して、ICMP
Echo Requestを送ることになります。もしも、アタッカーがターゲットサイトAのブロードキャストアドレスに大量にpingを実行した場合は、それに対する応答は増幅された莫大な量のICMP
Echo Relayパケットとなってターゲットとなるサイトを攻撃することになるのです。つまり、ここでの被害者は、ICMP
Echo Requestを送られたサイトAと、ICMP Echo Relayパケットを受け取るサイトBのふたつのサイトということになります。しかも、サイトAに関しては、自分で攻撃をしかけたわけでもないのに、サイトBにはサイトAが攻撃を仕掛けてきたと思われてしまうので悲惨です。
このサイトAの対処方法としては、ブロードキャストアドレスに向けて送信されたICMP Echo
Requestパケットをフィルタリングする(=ICMPパケットに応答しないようにする)ことです。これで自らが攻撃者(つまりICMP
Echo Relayを送信してしまうサイト)になることは免れることができます。しかし、ICMP
Echo Relayを受け取るサイトBの対策としては確実なものがないのが現状のところです。
|
SYN flood
|
SYN floodとは、アタッカーがIP アドレスをなりすまして、SYN(TCP接続要求)をサーバーマシンの処理能力を超えるほど高速に送信することによって実現し、アタックを受けたサーバーは接続処理のためにサービスの処理能力を消費させられてしまいます。この攻撃を理解するためにはTCP/IPの知識が必要となってきますが、TCPはコネクション型のプロトコルであるので、コネクションを確立するためには3つの過程をふまなくてはなりません。これを一般的に「3ウェイハンドシェイク(3Way
Handshake)」といいます(詳しくは「TCPとUDP/両プロトコルの相違」を参照してください)。
◎3ウェイハンドシェイク
 |
 |
 |
 |
①.クライアントが利用したいサービスのポートへSYNパケットを送信する
②.サーバ側はそのSYNパケットを受けとり、ACKパケットを送信し、同時にSYNパケットも送信する
③.クライアントはそれを受けACKパケットを送信してコネクションが確立される
|
 |
 |
 |
 |
この①と②の手順を高速に行うことによってサーバー側は待ち受け状態に陥られてしまいます。わかりやすくいうと、クライアントがSYNパケットを送信すると、サーバー側はSYN/ACTパケットを返し、さらにクライアントがそのACKパケットを受け取り、それをサーバーに返そうとする間はサーバー側は待ち受け状態になります。しかし、仮にそのクライアントからACKパケットが返ってこなければいつまでたっても待ち受け状態になるわけです。クライアント=アタッカーは偽のなりすまされた(Spoofing)IPアドレスを使用しているため、サーバー側は当然、ACTパケットを待ち受けた状態で止まってしまいます(SYN_RCVDで止まった状態)。その間、ACKパケットを待ち受けるために,サーバー側はバッファメモリ上にその情報を確保するためのメモリを消費し、システムのクラッシュやダウンといった症状が発生してしまわけです。しかし現状では、SYN
flood によってサーバがクラッシュすることは稀なことです。
対策としてはマイクロ・ブロック、SYN クッキー、RST クッキー、スタックの微調整などがあります。OSにパッチを当てたり、最新版のOSを利用するようにしてください。また、DoS攻撃に対応しているブロードバンドルータや、パーソナルファイヤーウォールソフトを導入するのもひとつの手です。
|
| Ping of Death |
ネットワークの応答確認用に使用する「Pingコマンド」を悪用して、対象のコンピュータを使用不能にする攻撃手法のこと(死のPing)。「Ping
of Death」は1996年に問題が表面化し、1997年7月頃にこのアタックが頻発しています。規定されているサイズよりも遥かに巨大なIPパケット(=理論長が65536バイトを超えるTCP/IPパケット)を連続的に送りつけることによって、対象のコンピュータやルータをクラッシュさせてしまいます。また、pingだけではなく全てのプロトコルで攻撃が可能です。この攻撃には標的となるグローバルIPアドレスさえわかっていれば、コマンドラインで「Pingコマンド」を実行するだけで誰でも行うことができるので、掲示板などで気に入らない相手などにこの攻撃をすることが流行っていました。今では、ほぼ全てのOSがこの攻撃に対処されているか(=つまり、このようなパケット送信はできないようになっています)、もしくはパッチが配布されています。1996年以前のOSを使用している方は、影響を受ける可能性があるので、パッチをあてるか、バージョンアップして対策を施すようにしてください。因みに、Ping
of death のパケットは簡単になりすましができてしまうので、送信元のIPアドレスはあてにはなりません。
|
| Nuke |
かつて猛威をふるった攻撃で、「WinNuke32」というツールを使用することで、攻撃対象に特殊なデータをネットワーク経由で送り、Windows
95のセキュリティホールを突いてマシンを停止させたり、ネットワーク機能を停止させたりします。「Ping
of Death」と同様でターゲットとなるIPアドレスさえわかってしまえば、IPアドレスを入力するだけで、誰でも行うことができてしまいます。なお、NukeはWindows
95以前のOSにのみに通用する攻撃であってもはや完全に過去のものとなっています。まだ、Windows95を使っているという人はマイクロソフトが提供するパッチをあてるようにしてください。
|
| Land/Latierra |
LAND攻撃はSYNを変形させたもので、アタッカーは、ターゲットとするサーバのアドレスを送信元IPアドレスと送信先IPアドレスに設定(偽造)して、大量のSYN(接続要求)を送信します。これによってサーバーはSYN/ACTを返しますが、送信元IPアドレスにサーバーマシンのIPアドレスが指定されているために、サーバーマシンは自分自身との接続のオープンを試みるようになります。SYN/ACTパケットを返す宛先は自分自身になっているので、システムは無限にループを繰り返す状態に陥ります。最終的には接続がタイムアウトになり、この解決を試みている間、サーバーマシンはハングアップしたような状態になるか、
または処理速度が極度に遅くなったりします。 アタッカーはそのようなパケットを定期的に送り、
システムをスローダウンさせます。 このアタックには種々の変種があり、例えば "La
Tierra" は、この問題を修正するためのパッチを回避しようとします。対策としては、パッチが提供されているのでそれを利用するようにしてください。またその他にも外部から内部のIPアドレスを指定したパケットをフィルタリングする対策がとられています。
|
| TearDrop |
UDPパケットの内部情報を偽造することで、相手マシンをダウンさせる攻撃。
|
サーバー構築
