「DDoS攻撃」(Distributed Denial of Service attack=分散サービス不能攻撃)──。この名称をご存知の方は多いでしょう。名の知れた攻撃手法の一つです。このDDoS攻撃が今また注目を集めています。

 DDoS攻撃とは、簡単にいえば、複数のコンピュータから攻撃対象に向かって一斉にパケットを送信して、攻撃対象のコンピュータの処理能力をオーバーさせ、本来提供しているサービスを利用できなくしてしまう攻撃のことです。最近では、2013年3月にスパム対策組織「Spamhaus Project」とその関係団体が攻撃された件が有名です。注目すべきはそのトラフィック。米Ciscoの専門家が執筆しているセキュリティブログによると、この攻撃では300Gビット/秒以上のトラフィックを観測したようです。

 最近のサーバーのイーサネットのインタフェース速度は1Gビット/秒が一般的です。単純計算ですが、サーバー1台が最大1Gビット/秒のトラフィックしかさばけないとすれば、300Gビット/秒とは少なくとも300台のサーバーが提供するサービスと同等と考えられます。その被害金額など想像したくないほどです。

 なぜこのような攻撃が実現できてしまうのでしょうか? 実は、インターネットが抱える問題に起因しているのです。しかも、自宅でインターネットを利用する人や、単純にユーザー企業としてネットワークを利用している人にも、もしかすると関係するかもしれないのです。

DNSのトラフィックを“増幅”させる「DNS Amp」

 DDoS攻撃(分散サービス不能攻撃)は、インターネット上に散らばった大量のコンピュータから、攻撃対象のコンピュータを一斉に攻撃します。このためにDNSサーバーが使われることがあり、このような攻撃を「DNS Amp」攻撃といいます。DNS Ampについては、2009年のこの連載で紹介しています。

 簡単におさらいしましょう(図1)。DNS Ampでは、ウイルスなどに感染し乗っ取られたパソコンなどがDNSサーバーに対して、TXTレコードの問い合わせなど「応答時にパケットサイズが大きくなるような要求」を送ります。このとき、要求パケットの送信元アドレスを攻撃対象のIPアドレスにしておきます。すると、DNSサーバーは応答パケットを攻撃対象に“返信”します。乗っ取られたパソコンから送る要求のパケットは小さいのですが、その応答は要求に対して数倍のサイズになります。つまり攻撃者は小さなパケットを“増幅”して、大きな攻撃トラフィックを生み出せます。

図1●DNS Ampの仕組み
図1●DNS Ampの仕組み
DNS Ampでは、乗っ取られたパソコンがDNSサーバーにTXTレコードなどを要求するパケットを送る。このとき、要求パケットの送信元アドレスを攻撃対象のIPアドレスにしておくと、DNSサーバーは応答パケットを攻撃対象に返信する。この結果、サイズの小さい要求パケットがサイズの大きい応答パケットに“増幅”される。
▼TXTレコードはDNSサーバーに登録される情報の一つで、認証に使う情報など任意のテキスト情報を登録するレコードのこと。