DOS攻撃
TCP/IPプロトコルの盲点を突いて、システムをダウンさせたり、サービスを利用不能にするクラッカーがいます。このような攻撃を、DOS(Denial
of Service)と言い、個別の対応が必要となります。
(1)SYNアタック
<攻撃方法>
代表的なDOSであるSYNアタックは、TCP/IPプロトコルの接続要求であるSYN要求を、サーバーに対して洪水のように出し続けます。サーバーは、要求に応えるために、ACK/SYNをクライアントに送り、クライアントからのACKを待ちますが、クライアントからは、次々とSYN要求だけが送られてくるため、TCPのコネクションが一杯になって、正常なクライアントからの要求を受け付けられなくなってしまいます。このような、SYNアタックに対する対策は、以下の通りです。
<対策>
- クライアントからのACK待ち時間を短くする。・・・ただし、遠隔地からの正常な接続要求が拒絶される恐れがある。
- ハーフオープンのコネクションの上限数を増やす。・・・ただし、資源の無駄が増える恐れがある。
- 3ウェイハンドシェイクが成立したコネクションだけサーバーに接続する。・・・ただし、専用のファイアウォールが必要。
(2)Ping of Deathアタック
<攻撃方法>
TCP/IPのノード調査に使用されるpingコマンドでサイズの大きなICMPパケット(IP制御用プロトコル)を送って、相手のシステムをダウンさせる攻撃をPing
of Death アタックといいます。本来は、ICPMの限界サイズまでのパケットを受信できなければいけないのですが、システムの実装における問題が原因で発生します。
<対策>
システム管理者が、対象のシステムの受信バッファ長を適正な値に変更することにより、防止できます。
(3)IPスプーフィング
<攻撃方法>
擬似パケット攻撃とも言い、攻撃者が、通常、信頼できるネットワーク上のどこかに存在する本物のIPアドレスを取得し、そのアドレスを使って、ネットワークの防御を破る攻撃方法です。すなわち、ゲートウェイホストが外部のネットワークから来たパケットを内部ネットワークのものと誤認して通過させてしまい内部ネットワークが危険にさらされます。
<対策>
パケットフィルタリング型のファイアウォ−ルのソフトを入れて、次のルール設定を行います。
- 発信元が内部ネットのIPアドレスであるパケットは、外部ネットワークとのゲートでシャットアウトする。
- 発信元がゲ−トウェイのIPアドレスであるパケットは、外部ネットワークとのゲート
でシャットアウトする。
(4)DNSスプーフィング
<攻撃方法>
もう1つのスプーフィングとして、DNSスプーフィングがあります。攻撃者は、ネットワークのネーム・サーバーであるDNSへのアクセスを取得します。次に、攻撃者は、標的のシステム内の許可されたホストの名前で嘘のエントリを書き込んで、自分のシステムのアドレスを設定します。こうすることによって、攻撃者は、rloginを使って、標的のシステムにアクセスすることができます。
<対策>
- DNS にはなるべく内部ホストの情報を載せないようにする。
- コマンド実行の制限を行い、外部からftpやtelnetが起動できないようにする。
(5)ソ−スル−ティング攻撃
<攻撃方法>
経路情報がなくても指定したル−タを通過するように、IPパケットのル−ズソ−スル−トオプション情報を利用する方法です。LSRR(
Louse Source and Recode Route ) 攻撃ともいいます。本来は、保守目的でパケットが通過すべき経路を変更するためのオプションですが、IPスプーフィングと連動して悪用すると、相手の内部ネットワークのアドレスを詐称して、さらに、その応答を受け取ることまでできます。
<対策>
多くのファイアウォール製品や一部のルータの機能として、ソースルーティング付きのパケットを検出して拒否するような機能が組み込まれているので、これを、利用します。
(6)シーケンス攻撃
<攻撃方法>
TCP/UDP ポ−トでアクセス可能な部分をしらみ潰しに調べる方法です。例えば、ポート番号をカウントアップしながら、セキュリティの穴が空いている部分を探します。TCP
の 23 番ポ−トが空いていれば、telnetで接続できます。また、このようなポートスキャンを行うフリーソフトがインターネット上で不正に流通しています。
<対策>
tcpdumpなどのコマンドでポートの開閉を監視し、ポート番号が連続して開かれているかどうかで、シーケンス攻撃の有無を推定できる場合があります。しかし、高度なポートスキャンソフトの場合、開くポート番号をランダムに選択するために、上記の方法では、検出できません。
(7)LAND攻撃
<攻撃方法>
TCP/IP の実装の問題で、送出元と送出先が同じIPアドレスとポート番号のパケットが送られると、ホストをクラッシュないし「ハング」できる場合があります。クラッカーは、スプーフィングを利用して擬装パケットを作成して、ホストに送り込んでこの攻撃を行ないます。
<対策>
現在の IP プロトコル技術では,偽装 IP パケットを選別して除去することは不可能であす。しかし,内部ネットワークとは異なる始点アドレスを持ち,ネットワーク外に出ていこうとする偽装パケットを,ルータなどのフィルタで排除することにより,この危険を低減させることができます。
(8)TearDrop攻撃
<攻撃方法>
TCP/IP の実装の問題で、IP フラグメンテーションを再構成するときに, IP フラグメントの重複をうまく扱うことができない。Teardrop
は,この弱点を攻撃するプログラムで,広く配付されています。
<対策>
必要に応じて、OSのベンダーから各攻撃プログラムに対して個別のパッチを取得して、あてます。
(9)Smurf攻撃
<攻撃方法>
Smurf のクラッカーは,標的となる被害者と,中継用の第三者のネットワーク
を選びます。クラッカーは,第三者のサブネットの IPブロードキャストアドレスへ向けて,応答要求のための制御用通信
(ICMP echo request) を送り出します。 しかし,サブネットのIPブロードキャスト(同報)アドレスへ送ることにより,そこのコンピュータが一斉に返答
(ICMP echo reply) を送信します。クラッカーは,被害者が応答要求を発信したように偽装し,また,大きなサイズの返答を発生するように仕組むので,被害者へ向けて大きな通信量の返答が送り付けられます。
もしも,特定の被害者に対する smurf を多数のサブネットに仕掛けた場合,返答が被害者のところに集中し,負荷が高まって,そのネットワークやコンピュータはサービス不能(応答遅れやダウン)
に陥ります。
<対策>
smurf 攻撃の中継を防止するためには,外部からサブネットのIP ブロードキャストアドレスへの通信が入るのを排除することと,
IPブロードキャストアドレスへの制御用通信(ICMP)を無視することの,二通りの対策があります。
- パケットフィルタの設定で, サブネットのIPブロードキャストアドレスへ宛てたパケット(directed
broadcast) を外部から内部へ通さないようにする。
- サブネット内にあるワークステーションなどにおいて,IP ブロードキャストアドレスへ送られた制御用通信(ICMPメッセージ)には
反応しないように,OSに手を入れる。
|