spamhaus ddos​​攻撃を理解する

最近のオランダのWebホストCyber​​Bunkerによるスパム対策エージェンシーSpamHausに対する大規模なDDoS攻撃が原因で、分散型サービス拒否攻撃が話題となっています。 インターネットの他の部分への付帯的損害はどれほど重要でしたか？ SpamHausの攻撃に対する防御に直接関与しているWebセキュリティ企業であるCloudFlareは、それを核爆弾に例えましたが、Webサイトの可用性と応答時間を追跡するKeynote Systemsは一瞬のことでした。

インターネット全体への影響がどうであれ、300 Gbpsをピークとするこの攻撃がこれまでに記録された最大のDDoS攻撃であることを誰も否定しません。 しかし、DDoS攻撃とは何ですか？また、どのような防御が利用可能ですか？

攻撃の仕組み

サービス妨害攻撃は、被害者のサーバーにデータをあふれさせるだけで、サーバーが処理できる以上のデータを送信するだけで、被害者のサーバーに過負荷をかけます。 これにより、被害者のビジネスが混乱したり、Webサイトがオフラインになることがあります。 被害者がそのトラフィックをすぐにブロックする可能性があるため、単一のWebロケーションからこのような攻撃を開始しても効果はありません。 攻撃者は、多くの場合、ボットネットによって制御されている数千の不運なコンピューターを介して分散型サービス拒否攻撃を開始します。

グローバルデータ保護会社VaronisのVPであるDavid Gibsonは、プロセスを簡単な言葉で説明しました。 「攻撃者があなたの電話番号をスプーフィングして、攻撃者が電話をかけたときにあなたの番号が他の人の電話に表示されることを想像してください」と彼は言いました。 「今、攻撃者がたくさんの人に電話をかけて、答える前に電話を切ると想像してみてください。おそらく、その人からたくさんの電話が返ってくるでしょう…今、何千人もの攻撃者がこれをしていると想像してください。十分な通話があると、電話システム全体が損なわれます。」

ボットネットをセットアップするには時間と労力が必要です。 Cyber​​Bunkerの攻撃では、そのような問題に取り組むのではなく、今日のインターネットに不可欠なコンポーネントであるDNSシステムを利用しました。

Cyber​​Bunkerは、IPアドレススプーフィング、つまりWebリクエストの送信と返信アドレスの偽造に対して脆弱な何万ものDNSサーバーを見つけました。 攻撃者からの小さなクエリは数百倍の応答をもたらし、それらの大きな応答はすべて被害者のサーバーにヒットしました。 ギブソンの例を拡張すると、まるで攻撃者の電話のそれぞれがあなたの電話番号を狂ったテレマーケティング担当者に引き継いだかのようです。

何ができますか？

誰かがそのような攻撃を阻止する技術を発明するのは素晴らしいことではないでしょうか？ 実は、13年前にすでに持っています。 2000年5月、インターネットエンジニアリングタスクフォースは、BCP38として知られるベストカレントプラクティスペーパーをリリースしました。 BCP38は問題を定義し、「偽造IPアドレスを使用するDoS攻撃を禁止するための簡単で効果的で簡単な方法」を説明しています。

「インターネットプロバイダーの80％は既にBCP38の推奨事項を実装しています」とGibson氏は述べています。 「スプーフィングされたトラフィックを許可する責任を負っているのは、残りの20パーセントです。」 問題を簡単に言えば、ギブソンは、「道路のドライバーの20％が信号機に従わない場合、想像してみてください。もはや安全ではありません。」

ロックダウン

ここで説明するセキュリティの問題は、家庭用またはビジネス用のコンピューターよりも上のレベルで発生します。 あなたは、ソリューションを実装できる、または実装すべきではありません。 それはIT部門の仕事です。 重要なのは、IT担当者が2種類のDNSサーバーの区別を正しく管理する必要があることです。 ネットワークセキュリティ企業WatchGuardのCISSPおよびセキュリティ戦略ディレクターのCorey Nachreinerが説明しました。

「権威あるDNSサーバーは、世界中の企業や組織のドメインについて伝えるサーバーです」とNachreiner氏は述べています。 「権限のあるサーバーはインターネット上の誰でも利用できるはずですが、会社のドメインに関するクエリにのみ応答する必要があります。」 外向きの権威あるDNSサーバーに加えて、企業には内向きの再帰DNSサーバーが必要です。 「再帰DNSサーバーは、すべての従業員にドメインルックアップを提供することを目的としています」とNachreiner氏は説明します。 「インターネット上のすべてのサイトに関するクエリに返信できる必要がありますが、組織内のユーザーに のみ 返信する必要があります。」

問題は、多くの再帰DNSサーバーが内部ネットワークへの応答を正しく制限しないことです。 DNSリフレクション攻撃を達成するために、悪者はそれらの誤って構成されたサーバーの束を見つける必要があります。 「企業は従業員のために再帰DNSサーバーを必要としますが、インターネット上の誰からの要求に対してもこれらのサーバーを開かないでください」とNachreinerは結論付けました。

SolutionaryのEngineering Research Team（SERT）の研究部長であるRob Krausは、「内部および外部からDNSアーキテクチャが実際にどのように見えるかを知ることは、組織のDNS展開のギャップを特定するのに役立つ」と指摘しました。 彼は、すべてのDNSサーバーにパッチが完全に適用され、仕様に準拠していることを確認するようアドバイスしました。 正しく実行したことを確認するために、クラウスは「倫理的なハッキング演習を使用すると、構成の誤りを発見できる」と提案しています。

はい、DDoS攻撃を開始する他の方法がありますが、DNSリフレクションは増幅効果のため特に効果的です。攻撃効果は、攻撃者からの少量のトラフィックが被害者に大量のトラフィックを生成します。 この特定の手段を停止することで、少なくともサイバー犯罪者に新しい種類の攻撃を発明させることができます。 それは一種の進歩です。