トップ > 情報処理技術者試験 > Dos攻撃とDDos攻撃はサーバやサイトに大きな負荷をかけてダウンさせるサイバー攻撃です。

Dos攻撃とDDos攻撃はサーバやサイトに大きな負荷をかけてダウンさせるサイバー攻撃です。

情報処理技術者試験

前回の勉強内容

ponsuke-tarou.hatenablog.com

勉強のきっかけになった問題

マルチベクトル型DDoS攻撃に該当するものはどれか。

  1. 攻撃対象のWebサーバ1台に対して,多数のPCから一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と,大量のDNS通信によってネットワークの帯域を消費させる攻撃を同時に行う。
  2. 攻撃対象のWebサイトのログインパスワードを解読するために,ブルートフォースによるログイン試行を,多数のスマートフォンやIoT機器などの踏み台から成るボットネットから一斉に行う。
  3. 攻撃対象のサーバに大量のレスポンスが同時に送り付けられるようにするために,多数のオープンリゾルバに対して,送信元IPアドレスを攻撃対象のサーバのIPアドレスに偽装した名前解決のリクエストを一斉に送信する。
  4. 攻撃対象の組織内の多数の端末をマルウェアに感染させ,当該マルウェアを遠隔操作することによってデータの改ざんやファイルの消去を一斉に行う。

情報処理安全確保支援士平成30年秋期 午前Ⅱ 問4

Dos攻撃DDos攻撃は、サーバやサイトに大きな負荷をかけてダウンさせるサイバー攻撃です。

1つのIPアドレスから攻撃を仕掛けるのが、Dos攻撃です。

  • 英語 : Denial(否定・拒絶) of Service attack
  • 日本語 : サービス拒否攻撃
F5アタックは、一人でF5ボタンを押下し続ける寂しい攻撃です。

ブラウザでF5を押すと、画面をリロードしてくれます。しかもキャッシュ保存せずに。
なので、画面のデータを全部サーバへ要求します。
そしてF5を猛烈に連打するとサーバに負荷をかけることができます。

複数のIPアドレスから攻撃を仕掛けるのが、DDos攻撃です。

  • 英語 : Distributed(分散型の) Denial of Service attack
  • 日本語 : 分散型サービス拒否攻撃

https://www.nttpc.co.jp/service/ddos/img/img_index_03.jpg
DDoS対策サービス|ソリューション・サービス|【公式】NTTPC

DDos攻撃では、ボットネットが使われます。

外部からの遠隔操作に従って処理を実行するプログラムがボットです。それがたくさん集まったのがボットネットです。
残念ながら、自分のパソコンやスマホにボットが入ってしまうとDDos攻撃の加害者となります。

https://eset-info.canon-its.jp/files/user/malware_info/images/threat/150120_3/images/img01.jpg
ボットネットとは何か? どうやって防ぐのか? | サイバーセキュリティ情報局

ボットネットを遠隔操作するために指令を送ったり制御するサーバーが、C&Cサーバーです。
  • 英語 : Command and Control server

https://eset-info.canon-its.jp/files/user/malware_info/images/term/sa/images/171_1.jpg
C&Cサーバー | サイバーセキュリティ情報局

Miraiは、ランダムなIPアドレスを生成してtelnetポートにログインを試行し工場出荷時の弱いパスワードを使っているIoT機器などに感染を広げるとともにC&Cサーバからの指令に従って標的に対してDDoS攻撃を行うマルウェアです。
  • 読み方: ミライ

https://image.itmedia.co.jp/tf/articles/1704/13/tfayagi_mirai1704_fig01.jpg
IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策:超速解説 Mirai - TechFactory

感染した端末上でIPアドレスをランダムに走査し、新たな標的を見つけます。そして、工場出荷時のデフォルト値や単純なID/パスワードの組みによる辞書攻撃によって、標的IoT端末のtelnetポートへのログインを試みます。この動作を繰り返して、ボットネットを拡大していきます。Miraiが構築したボットネットは、過去最大級の規模のDDoS攻撃を引き起こしています。
情報処理安全確保支援士平成30年秋期 午前Ⅱ 問11

攻撃には、「フラッド型」「脆弱性」「マルチベクトル型」があります。

フラッド型は、大量データを送りつけて処理しきれなくなるようにします。

https://tech.nikkeibp.co.jp/it/article/COLUMN/20070307/264106/zu01.jpg
サービス妨害攻撃 --- DoS,DDoS,smarf,SYNフラッド,DNS amp | 日経クロステック(xTECH)

脆弱性は、脆弱性を利用して不正処理を行わせサービス機能を停止させます。

WAFは、Webアプリケーションの脆弱性を狙う攻撃を遮断するファイアウォールです。

ponsuke-tarou.hatenablog.com

マルチベクトル型は、複数の手法を組み合わせます。

攻撃対象のWebサーバ1台に対して多数のPCから一斉にリクエストを送って「サーバのリソースを枯渇させる」攻撃と大量のDNS通信によって「ネットワークの帯域を消費させる攻撃」を同時に行います。

https://businessnetwork.jp/Portals/0/Data/2019/02/22/A10_3.jpg?11915105630126
A10が機械学習でDDoS防御を自動化、追加ライセンスは不要で(ページ2) | ビジネスネットワーク.jp

f:id:ponsuke_tarou:20201001203726j:plain
那須岳朝日岳

OSI参照モデルネットワーク層トランスポート層が攻撃に使われやすいです。

第7層 アプリケーション層
第6層 プレゼンテーション層
第5層 セッション層
第4層 トランスポート層 <- 反射型DDoS攻撃 / DNSリフレクタ攻撃
第3層 ネットワーク層 <- ICMP Flood攻撃
第2層 データリンク層
第1層 物理層

反射型DDoS攻撃は、トランスポート層DNSサーバやNTPサーバを反射に使ってパケットを増幅させる攻撃です。

  • 別名 : リフレクション攻撃、DrDoS攻撃(Distributed Reflection Denial of Service attack)
UDPの性質を悪用したDDoS攻撃DNSリフレクタ攻撃があります。
  • 別名 : DNSアンプ攻撃

反射に利用されるサーバ(リフレクター)の特徴

  • UDPを使用している >> TCPに比べてIPアドレスを詐称しやすい
  • 問い合わせよりも応答の方が大きい >> 攻撃の効率が上がる

これらの特徴に合うのが、DNSサーバやNTPサーバです。

https://www.sc-siken.com/kakomon/30_aki/img/07.gif
情報処理安全確保支援士平成30年秋期 午前Ⅱ 問7

https://jprs.jp/glossary/imgs/reflection.png
JPRS用語辞典|DNSリフレクター攻撃(DNSアンプ攻撃)

ICMP Flood攻撃は、ネットワーク層のICMPを利用して回線を過負荷にさせる攻撃です。

ICMP Flood攻撃に該当するものはどれか。
答. pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
https://www.sc-siken.com/kakomon/27_aki/img/10.gif
情報セキュリティスペシャリスト平成27年秋期 午前Ⅱ 問10

f:id:ponsuke_tarou:20190313221021j:plain
思い出の一枚

次回の勉強内容

ponsuke-tarou.hatenablog.com