警察庁は3月24日,ネットワーク機器(ルーターやファイアウオールなど)やOSのセキュリティ機能や設定変更で,DoS(サービス妨害)攻撃やDDoS(分散サービス妨害)攻撃をどの程度防げるかを検証した結果を公表した。それによると,セキュリティ機能の利用や適切な設定変更で,一定の効果が得られることを確認したという。ただし効果を得るには,事前に各ネットワーク機器やセキュリティ機能の特徴を把握しておくことが重要だと結論付けている。
警察庁は2003年6月,DoS/DDoSの攻撃手法とその対策方法を解説した「DoS/DDoS対策について」(PDFファイル)というドキュメントを公開している。今回公開したドキュメント(PDFファイル)では,そこで述べた対策方法が実際に有効かどうかを検証している。
検証に用いられた攻撃は,(1)SYNFlood攻撃,(2)Connection Flood攻撃,(3)UDPFlood攻撃,(4)DRDoS攻撃――の4種類。実験ネットワーク上でこれらの攻撃を実際に発生させて,ネットワーク機器や攻撃対象マシンのOSで防げるかどうかを検証した。
(1)に対しては,「OSのsyncookies機能」「ファイアウオールのSYNFlood防御機能」「ルーターのQoS(帯域制御)機能」――をそれぞれ試して,どの程度効果が得られるのかを検証した。同様に,(2)に対しては「OSのTCPコネクション・キーの設定値変更」「ファイアウオールの同時接続数の制限」,(3)に対しては「ルーター/ファイアウオールのQoS機能」,(4)に対しては「ルーターのアクセス制御/QoS機能」――の有効性を検証した。
その結果,(2)に対する「OSのTCPコネクション・キーの設定値変更」以外は,有効であることが確認された。ただし,セキュリティ機能や各種設定を効果的に利用するためには,「攻撃に利用されるパケットの特徴」「セキュリティ機能の特徴」「機器の限界(例えば,最大コネクション数)」――などを事前に把握することが重要だとしている。そしてこれらは,DoS/DDoS攻撃対策としてだけではなく,システムを適切に運用するためにも重要だという。
◎参考資料
◆Dos/DDoS対策について(検証) (3/24)
◆Dos/DDoS対策について(検証)(PDFファイル)
◆Dos/DDoS対策について(PDFファイル)
(勝村 幸博=IT Pro)
