前回の記事では,まず分散型サービス拒否(DDoS)攻撃の対応策を検討した。今回のコラムは,プライベート・ネットワーク向けの対策を説明しよう。
プライベート・ネットワークに対する攻撃を防ぐ方法の一つは,正当なアクセス経路を攻撃者から隠し,ネットワークの構成を定期的に変えることである。構成変更は,アクセス元アドレス・フィルタリングや隠しプロキシ・サーバー(サーブレット),仮想オーバーレイ・ネットワーク(SOAP:secure overlay access pointと併用)といった手段で実現できる。
オーバーレイを通過しようとするすべての通信は,まずその場所(SOAPマシン)の入り口で検証され,確認できたユーザーだけにネットワーク・アクセスが許される。ただし攻撃者がアクセス対象クライアントの手前に設けられたフィルタリング用ルーターのアドレスを知ってしまうと,総当たり(ブルートフォース)攻撃を仕掛けられる。
プライベート・ネットワークを守るもう一つの手段は,「クライアント・パズル」などの暗号処理の導入である。クライアント・マシンのリソースを犠牲にして,クライアントに通信の正当性を証明させるのだ。サーバーがアクセスを受けた際,アクセスしてきたクライアントに対して,簡単なパズルを解いてからサービス・リクエストを送るよう要求すれば良い。クライアントがリクエストを完了させるには,パズルに正解しなければならない。
ほかに,フィルタリングでDDoS攻撃のトラフィックを減らす方法もある。リソース複製という対策(例えば「XenoService」)では,リクエストが多い対象マシン/ネットワークのリソースを複製してDDoS攻撃に対抗する。正当性テスト(「NetBouncer」など)を実施すれば,良性トラフィックと悪性トラフィックを区別できる。インターネット接続事業者(ISP)は攻撃用コードを捕らえるハニーポットという封じ込め策も使える。こうして獲得したコードは,後で調査すれば攻撃阻止に役立つ。
筆者は今回のDDoS攻撃に関するブログを書くにあたり,さまざまな報告書と学位論文を読んだ。最も参考になったのは,Vrizlynn Thing Ling Ling氏が英インペリアル・カレッジ・ロンドンに提出した博士論文(2008年8月:204ページ)である。
記事中で取り上げた対策について,実施タイミングや目的を以下にまとめておこう。
| トレースバック | IPアドレス偽装対策として使う。攻撃源を絞り込める |
| 封じ込め | 主な目的は,攻撃の矛先を本来の目標からそらすこと |
| ネットワークの構成変更 | 通信経路を変えることでネットワーク構成を変更し,「認証済み」の良性トラフィックと攻撃用トラフィックを分離する。分離精度が高ければ,攻撃トラフィックを廃棄できる |
| リダイレクション/ブラック・ホール・ルーティング | ブラック・ホールへトラフィックを転送する処理であり,ここではフィルタリングと同じ対策とみなせる |
| フィルタリング | 攻撃トラフィックの検出精度が高く,攻撃を識別できるなら,条件に一致するトラフィックのフィルタリングは有効な対策だ |
| 通信帯域制限 | フラッド攻撃を受けている際に,ネットワーク輻輳(ふくそう)を回避する最初の対策となる。検出精度が低い場合や,攻撃トラフィックと通常のトラフィックを区別するシグネチャが作れない場合に使う |
| リソース複製 | 単にリクエストが集中した場合の対応方法であり,DDoS攻撃対策ではない。リクエストに応じるリソースを増やすことで,大量の正当なサービス・リクエストを処理する |
| 正当性テスト | 確認テストでクライアントを認証する。インターネットにこのようなテストを行うホストがたくさんあれば,正当なユーザーはリクエストを実行してもらうために「ゲームのルール」を守るようになる |
| 攻撃者のリソース消費 | クライアントのリソースを犠牲にしてもらい,クライアントが本当にリクエストを実行したがっているかどうか確かめる。つまり,攻撃用マシンが提示されたパズルを解こうとしなければ,サーバーは正当なトラフィックとDDoS攻撃トラフィックを区別できる可能性がある。仮に攻撃用マシンが攻撃の都度パズルを解くためのリソースを消費すれば,攻撃速度が低下する。なお,このようなパズル・アルゴリズムはインターネットのホストに普及するだろう |
米マカフィーのセキュリティ装置「McAfee Network Security Platform」シリーズを使えば,上述した対策を導入できる。
マカフィーの「Network Security Platform」(NSP,旧名称は「IntruShield」)センサーは,あらかじめネットワークの「正常な」通信状況を学習しておき,そこからの逸脱を攻撃と判定することでDDoS攻撃を検出する。具体的には,ICMPやTCP SYN,UDP,IPフラグメントといったパケットの種類や比率,数を調べる。詳細は,以下の報告書を参照してほしい。
・DDoS緩和策のビデオ(フランス語,フランスのオレンジ・グループ)
・IPトレースバック:新たなDoS攻撃対策?(米国電気電子学会(IEEE)のセキュリティ&プライバシ誌,PowerPoint形式)
・安全なオーバーレイ・サービス(米オーバーン大学,PowerPoint形式)
・DDoS攻撃のタクソノミとDDoS防御機構(米カリフォルニア大学,PowerPoint形式)
・プッシュバック:DDoS攻撃対策(米サンノゼ州立大学,PowerPoint形式)
・検出技術の解読:匿名侵入の検出(マカフィー,PDF形式)
・検出技術の解読:DoS攻撃の検出(マカフィー,PDF形式)
Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「DDoS Response: Part 2」でお読みいただけます。
