「DDoS攻撃」(Distributed Denial of Service attack=分散サービス不能攻撃)──。この名称をご存知の方は多いでしょう。名の知れた攻撃手法の一つです。このDDoS攻撃が今また注目を集めています。
DDoS攻撃とは、簡単にいえば、複数のコンピュータから攻撃対象に向かって一斉にパケットを送信して、攻撃対象のコンピュータの処理能力をオーバーさせ、本来提供しているサービスを利用できなくしてしまう攻撃のことです。最近では、2013年3月にスパム対策組織「Spamhaus Project」とその関係団体が攻撃された件が有名です。注目すべきはそのトラフィック。米Ciscoの専門家が執筆しているセキュリティブログによると、この攻撃では300Gビット/秒以上のトラフィックを観測したようです。
最近のサーバーのイーサネットのインタフェース速度は1Gビット/秒が一般的です。単純計算ですが、サーバー1台が最大1Gビット/秒のトラフィックしかさばけないとすれば、300Gビット/秒とは少なくとも300台のサーバーが提供するサービスと同等と考えられます。その被害金額など想像したくないほどです。
なぜこのような攻撃が実現できてしまうのでしょうか? 実は、インターネットが抱える問題に起因しているのです。しかも、自宅でインターネットを利用する人や、単純にユーザー企業としてネットワークを利用している人にも、もしかすると関係するかもしれないのです。
DNSのトラフィックを“増幅”させる「DNS Amp」
DDoS攻撃(分散サービス不能攻撃)は、インターネット上に散らばった大量のコンピュータから、攻撃対象のコンピュータを一斉に攻撃します。このためにDNSサーバーが使われることがあり、このような攻撃を「DNS Amp」攻撃といいます。DNS Ampについては、2009年のこの連載で紹介しています。
簡単におさらいしましょう(図1)。DNS Ampでは、ウイルスなどに感染し乗っ取られたパソコンなどがDNSサーバーに対して、TXTレコード▼の問い合わせなど「応答時にパケットサイズが大きくなるような要求」を送ります。このとき、要求パケットの送信元アドレスを攻撃対象のIPアドレスにしておきます。すると、DNSサーバーは応答パケットを攻撃対象に“返信”します。乗っ取られたパソコンから送る要求のパケットは小さいのですが、その応答は要求に対して数倍のサイズになります。つまり攻撃者は小さなパケットを“増幅”して、大きな攻撃トラフィックを生み出せます。