これまでに最大規模といわれるDDoS(分散型サービス妨害)攻撃が2013年3月、迷惑メール対策を行っている組織「Spamhaus Project」に向けて行われた。インターネット上に大量に存在する不適切な設定のDNSサーバーが悪用されており、今後もDDoS攻撃は大規模化しそうだ。企業はすぐに対策を行う必要がある。
SpamhausへのDDoS攻撃は約1週間以上にわたり、ピーク時は300ギガビット/秒の帯域を消費したという。同組織は、米CDN(コンテンツ・デリバリー・ネットワーク)サービスおよびセキュリティ企業Cloudflareの支援を受けて、DDoS攻撃に対抗した。
この攻撃では、「DNSリフレクション攻撃(または、DNSアンプ攻撃)」という手口が利用された。インターネット上にある「オープンリゾルバ」と呼ばれる、外部ネットワークからの再帰的な検索を許可したDNSサーバーを踏み台にする。
DNSサーバーの機能は二つある。問い合わせに対してIPアドレスを返答するためのデータを持つ「DNSコンテンツサーバー」と、DNSコンテンツサーバーとPCなどの間の通信を中継する「DNSキャッシュサーバー」である(両方を兼ねる場合も多い)。このうち、DNSキャッシュサーバーの機能が悪用される。
DNSリフレクション攻撃では、攻撃者は送信元を偽装した問い合わせをオープンリゾルバに送る。オープンリゾルバは、問い合わせと比較して数倍~数十倍のデータを攻撃対象へ送ってしまう。
そば屋に偽名で大量の出前注文を行う犯罪と同じようなもので、悪用するオープンリゾルバの台数を増やすことで、攻撃対象にいくらでも大量のデータを届けることができる(図)。
これまでのDDoS攻撃では、大規模化に際して、攻撃者の労力が増える手口が使われてきた。攻撃対象へ送るのと同じ量のデータを、攻撃元のPCやサーバーから送る必要があったほか、攻撃元を増やす場合、PCやサーバーを攻撃者が乗っ取る必要があった。
それに対して、DNSリフレクション攻撃は大規模化が容易だ。攻撃対象へ送るデータはオープンリゾルバが増幅してくれる。また、攻撃元となるオープンリゾルバは、インターネット上に数千万台も稼働しているといわれる。
