ライン

アタックの簡単な説明

アイコン

アタックの簡単な説明していこうと思います。
敵の仕掛けてくる可能性のある代表的な攻撃知らなければ
なにもわからないでしょうし・・・。
使っている製品やOSのサポート情報、セキュリティ情報を
常に意識し、チェックして修正プログラム等を
適用し、最新の状態に保つことも大事です
DOS攻撃
TCP/IPプロトコルの盲点を突いて、システムをダウンさせたり、サービスを利用不能にするクラッカーがいます。このような攻撃を、DOS(Denial of Service)と言い、個別の対応が必要となります。


(1)SYNアタック
<攻撃方法>
代表的なDOSであるSYNアタックは、TCP/IPプロトコルの接続要求であるSYN要求を、サーバーに対して洪水のように出し続けます。サーバーは、要求に応えるために、ACK/SYNをクライアントに送り、クライアントからのACKを待ちますが、クライアントからは、次々とSYN要求だけが送られてくるため、TCPのコネクションが一杯になって、正常なクライアントからの要求を受け付けられなくなってしまいます。このような、SYNアタックに対する対策は、以下の通りです。
<対策>
  • クライアントからのACK待ち時間を短くする。・・・ただし、遠隔地からの正常な接続要求が拒絶される恐れがある。
  • ハーフオープンのコネクションの上限数を増やす。・・・ただし、資源の無駄が増える恐れがある。
  • 3ウェイハンドシェイクが成立したコネクションだけサーバーに接続する。・・・ただし、専用のファイアウォールが必要。

(2)Ping of Deathアタック
<攻撃方法>
TCP/IPのノード調査に使用されるpingコマンドでサイズの大きなICMPパケット(IP制御用プロトコル)を送って、相手のシステムをダウンさせる攻撃をPing of Death アタックといいます。本来は、ICPMの限界サイズまでのパケットを受信できなければいけないのですが、システムの実装における問題が原因で発生します。

<対策>

システム管理者が、対象のシステムの受信バッファ長を適正な値に変更することにより、防止できます。


(3)IPスプーフィング
<攻撃方法>
擬似パケット攻撃とも言い、攻撃者が、通常、信頼できるネットワーク上のどこかに存在する本物のIPアドレスを取得し、そのアドレスを使って、ネットワークの防御を破る攻撃方法です。すなわち、ゲートウェイホストが外部のネットワークから来たパケットを内部ネットワークのものと誤認して通過させてしまい内部ネットワークが危険にさらされます。

<対策>

パケットフィルタリング型のファイアウォ−ルのソフトを入れて、次のルール設定を行います。

  • 発信元が内部ネットのIPアドレスであるパケットは、外部ネットワークとのゲートでシャットアウトする。
  • 発信元がゲ−トウェイのIPアドレスであるパケットは、外部ネットワークとのゲート でシャットアウトする。

(4)DNSスプーフィング
<攻撃方法>
もう1つのスプーフィングとして、DNSスプーフィングがあります。攻撃者は、ネットワークのネーム・サーバーであるDNSへのアクセスを取得します。次に、攻撃者は、標的のシステム内の許可されたホストの名前で嘘のエントリを書き込んで、自分のシステムのアドレスを設定します。こうすることによって、攻撃者は、rloginを使って、標的のシステムにアクセスすることができます。

<対策>

  • DNS にはなるべく内部ホストの情報を載せないようにする。
  • コマンド実行の制限を行い、外部からftpやtelnetが起動できないようにする。

(5)ソ−スル−ティング攻撃
<攻撃方法>
経路情報がなくても指定したル−タを通過するように、IPパケットのル−ズソ−スル−トオプション情報を利用する方法です。LSRR( Louse Source and Recode Route ) 攻撃ともいいます。本来は、保守目的でパケットが通過すべき経路を変更するためのオプションですが、IPスプーフィングと連動して悪用すると、相手の内部ネットワークのアドレスを詐称して、さらに、その応答を受け取ることまでできます。

<対策>

多くのファイアウォール製品や一部のルータの機能として、ソースルーティング付きのパケットを検出して拒否するような機能が組み込まれているので、これを、利用します。


(6)シーケンス攻撃
<攻撃方法>
TCP/UDP ポ−トでアクセス可能な部分をしらみ潰しに調べる方法です。例えば、ポート番号をカウントアップしながら、セキュリティの穴が空いている部分を探します。TCP の 23 番ポ−トが空いていれば、telnetで接続できます。また、このようなポートスキャンを行うフリーソフトがインターネット上で不正に流通しています。

<対策>

tcpdumpなどのコマンドでポートの開閉を監視し、ポート番号が連続して開かれているかどうかで、シーケンス攻撃の有無を推定できる場合があります。しかし、高度なポートスキャンソフトの場合、開くポート番号をランダムに選択するために、上記の方法では、検出できません。


(7)LAND攻撃
<攻撃方法>
TCP/IP の実装の問題で、送出元と送出先が同じIPアドレスとポート番号のパケットが送られると、ホストをクラッシュないし「ハング」できる場合があります。クラッカーは、スプーフィングを利用して擬装パケットを作成して、ホストに送り込んでこの攻撃を行ないます。

<対策>

現在の IP プロトコル技術では,偽装 IP パケットを選別して除去することは不可能であす。しかし,内部ネットワークとは異なる始点アドレスを持ち,ネットワーク外に出ていこうとする偽装パケットを,ルータなどのフィルタで排除することにより,この危険を低減させることができます。


(8)TearDrop攻撃
<攻撃方法>
TCP/IP の実装の問題で、IP フラグメンテーションを再構成するときに, IP フラグメントの重複をうまく扱うことができない。Teardrop は,この弱点を攻撃するプログラムで,広く配付されています。

<対策>

必要に応じて、OSのベンダーから各攻撃プログラムに対して個別のパッチを取得して、あてます。


(9)Smurf攻撃
<攻撃方法>
Smurf のクラッカーは,標的となる被害者と,中継用の第三者のネットワーク を選びます。クラッカーは,第三者のサブネットの IPブロードキャストアドレスへ向けて,応答要求のための制御用通信 (ICMP echo request) を送り出します。 しかし,サブネットのIPブロードキャスト(同報)アドレスへ送ることにより,そこのコンピュータが一斉に返答 (ICMP echo reply) を送信します。クラッカーは,被害者が応答要求を発信したように偽装し,また,大きなサイズの返答を発生するように仕組むので,被害者へ向けて大きな通信量の返答が送り付けられます。 もしも,特定の被害者に対する smurf を多数のサブネットに仕掛けた場合,返答が被害者のところに集中し,負荷が高まって,そのネットワークやコンピュータはサービス不能(応答遅れやダウン) に陥ります。

<対策>

smurf 攻撃の中継を防止するためには,外部からサブネットのIP ブロードキャストアドレスへの通信が入るのを排除することと, IPブロードキャストアドレスへの制御用通信(ICMP)を無視することの,二通りの対策があります。

  • パケットフィルタの設定で, サブネットのIPブロードキャストアドレスへ宛てたパケット(directed broadcast) を外部から内部へ通さないようにする。
  • サブネット内にあるワークステーションなどにおいて,IP ブロードキャストアドレスへ送られた制御用通信(ICMPメッセージ)には 反応しないように,OSに手を入れる。
DDOS(分散DOS)攻撃
高いセキュリティで守られている著名な商業用サイト(Yahoo,Amazon.com etc)や米国政府関係のサイトに対して、DOS攻撃を高度化したDDOS(分散DOS)攻撃が行われ、長時間使用不能に陥るケースが増えています。


(1)DOS攻撃との相違点

これまでDOS攻撃を仕掛けられた場合、システム管理者がパケットの送出元のサイトを追跡して、ファイアウォールの設定を変更することによって、比較的、早い段階で攻撃を防ぐことができました。しかし、DDOS攻撃では、数百台にも及ぶマシンが不完全なパケットを一斉に標的のサイトに送り付けるため、障害の復旧と犯人の追跡が極めて、困難です。

(2) 攻撃の構成要素(Trin00の例)

  • Intruder・・・クラッカーが所有し全体の攻撃の統制に使用するマシン

  • Master・・・クラッカーがネットワーク上で探し出したセキュリティの弱い数台のマシン。密かにMasterソフトをインストールし、デーモンプロセスとして実行しておく。

  • Daemon・・・クラッカーがネットワーク上で探し出した数十台から数百台のセキュリティの弱いマシン。事前にDaemonソフトをインストールし、デーモンプロセスとして実行しておく。

  • Target・・・標的のサイト。

(3) 攻撃手順

  1. クラッカーは、ポートスキャンツールを使って、root権限を獲得できる脆弱なMasterとDaemonをネットワークから探し出します。
  2. クラッカーは、上記のMasterとDaemonにroot権限で入り込んで、各ソフトをインストールしてデーモンプロセスを実行させます。
  3. Daemonのプロセスは、Masterとの間で自動的に通信を行って、攻撃準備が整ったことを知らせます。
  4. クラッカーは、IntruderからMasterマシンに、暗号化したTargetマシンのIPアドレスを送り込み、攻撃開始を指令します。
  5. Masterマシンは、DaemonマシンにTargetマシンのIPアドレスを通知します。
  6. 通知を受けたDaemonマシンは、Targetマシンに対して様々なDos攻撃を開始します。

(4) 主要攻撃ツール

  • Trin00・・・UDP Flood攻撃を行う。
  • TFN:Tribe FloodNet・・・UDP flood,TCP SYN flood,ICMP echo request flood,smurfの全攻撃を行う。
  • TFN2K・・・TFNの強化版。不正な形式のパケットを送り付けて、システムを不安定にさせてクラッシュさせる。
  • Stacheldraht

(5) 対策

現段階では、標的のサイトがDDOS攻撃を仕掛けられた場合、効率的な防御は難しいと言われています。それよりも、自分が管理するマシンがHostやBroadcasterとならないように、ツールを使用してこれらのソフトがインストールされたことを検出して、未然に攻撃を防ぐ対策が第一に求められています。

(6) 損害賠償

米国では、MasterやBroadCasterのソフトをインストールされ、結果的にDDOS攻撃に加担してしまったIPSやWebサーバーの管理者が、管理責任を問われて損害賠償の請求をされるリスクが指摘されています。これらの責任の負担を回避するためにも、ツールによる攻撃ソフトの定期的な検出が求められます。


メール アイコン
メール
トップ アイコン
トップ

ライン