DoS 攻撃(Denial of Service attack)
Web サーバやメールサーバで行っているサービスを利用できなくする攻撃
種類
- 過負荷をかける
- SynFlood 攻撃
- ターゲットのサーバに対して接続要求を大量に送付し、接続要求の処理のためにサーバのメモリを使い切らせる攻撃
- メール爆弾
- 巨大なメールや大量のメールを送り付けメールサーバのディスクや CPU 資源、ネットワーク帯域を使い切らせる
- ホームページへの異常な数のアクセス
- SynFlood 攻撃
- 例外的な入力、想定外の値の入力で異常処理を起こさせるもの
- セキュリティホールを利用してサーバ上で稼働しているサービスやネットワーク機器に異常処理をさせて、停止させます
- 過負荷をかける
ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送り付けることで、特定のサービスやターゲットサイトのネットワーク全体が正常動作できない状態に陥れる行為
種類
- CPU やメモリなどのシステムリソースを過負荷状態、またはオーバーフロー状態にする
- 大量のパケットを送りつけ、ネットワークの帯域をあふれさせる
- ホストのセキュリティホールをついて OS や特定のアプリケーションを異常終了させる
SYN Flood 攻撃
- SYN パケットを大量に送りつけることで正常なサービスの提供を妨害するというもの
- 対策
- SYN クッキーや SYN Flood プロテクション機能をもつ OS や FW を用いる
- SYN クッキーとは TCP 通信の正当性を確認するために、SYN/ACK パケットのシーケンス番号に埋め込まれるデータであり、通常は TCP ヘッダをハッシュ化した値が用いられる
- クライアントから SYN パケットを受け取った段階では TCP ソケットをオープンにせず、SYN クッキーをセットした SYN/ACK パケットをクライアントに返す
- その後、クライアントから送られてきた ACK パケットを確認し、正当な通信であることが確認できたらソケットをオープンにし、TCP コネクションを確立する
- SYN クッキーとは TCP 通信の正当性を確認するために、SYN/ACK パケットのシーケンス番号に埋め込まれるデータであり、通常は TCP ヘッダをハッシュ化した値が用いられる
- コネクション確立時のウェイトタイムアウトを短くする
- ルータやスイッチによって SYN パケットの帯域制限を行う
- SYN クッキーや SYN Flood プロテクション機能をもつ OS や FW を用いる
UDP Flood 攻撃
Smurf 攻撃
- ICMP の応答パケットを大量に送りつける
- LAN 内ではブロードキャストを利用して、同一ネットワークに属するすべてのコンピュータに同じメッセージを送信できるため、これを悪用
- あるコンピュータから LAN 内すべてのコンピュータに ping を実行
- このコマンドを受信した LAN 内のすべてのコンピュータは、それぞれのコンピュータから応答パケットを送信
- このとき、送信元の IP アドレスとして特定のコンピュータを指定することで、そのコンピュータに大きな負荷をかけることができる
- DDoS 攻撃(Distributed DoS attack)
- 踏み台と呼ばれる複数のコンピュータから一斉に攻撃を行な
- 防御が難しい
- EDoS 攻撃(Economic Denial of Service attack)
- 経済的な損失を与えることを目的とした DoS 攻撃
ボットネット
- 使用者が知らないところで乗っ取られたコンピュータの集まり
- 悪意のあるプログラムを使用して乗っ取ったコンピュータに対して、外部から攻撃の指示を送る
F5 攻撃
- キーボードの F5 を実行すると Web サイトのリロードが実行されるので、F5 を連続で実行することで Web サーバに大きな負荷をかける