ニュース
2004/03/24 20:32 更新
警察庁、DoS/DDoS対策についての有効性検証レポートを公開
警視庁技術対策課は3月24日、DoS/DDoS対策についてのファイアウォールやDoS/DDoS攻撃防御機能の有効性を検証したレポートをまとめた。
警視庁技術対策課は3月24日、DoS/DDoS対策についてのファイアウォールやDoS/DDoS攻撃防御機能の有効性を検証したレポートをまとめた。それによれば、個別の防御策を正確に選定し実行することで、一定の効果が期待できると結論付けている。
DoS/DDoS攻撃とは、ネットワークを通じた攻撃手法で、大量のトラフィックを送り込んだり、不正なデータで相手のコンピュータなどを麻痺させる。これら攻撃に対する定量的な調査がこれまでなかったことから、警察庁技術対策課は一般的な防御機能について検証を行い、有効性を確認している。
レポートでは、SYNFlood攻撃、ConnectionFlood攻撃、UDPFlood攻撃、DRDoS攻撃の4種類について検証結果をまとめている。(DoS/DDos対策について:警察庁技術対策課)
TCPコネクションの成立を行わずハーフオープン状態のコネクションを大量発生させるSYNFlood攻撃においては、(1)Linuxなどで広く実装されているsyncookies機能の有効性、(2)ファイアウォールのSYNFlood防御機能の有効性、そして(3)攻撃状況下におけるルータのQoS機能の効果の3つ点から検証している。
(1)については、syncookies機能を有効にした場合、無効状態でWeb閲覧が不可能になる程度の攻撃でもタイムアウトが発生せず、応答時間も平常時と変わらない状態であったという。また、OSのリソースへの影響も同機能の有効/無効にかかわらずCPUの使用率は1%未満で、メモリ使用量にも大きな変化はなかったとしている。
(2)でも、SYNFlood機能を有効にした場合、無効状態で閲覧が不可能になった攻撃においてもタイムアウトは発生せず、応答時間も平常時と変わらなかった。しかし、機能を有効にしていた場合、攻撃パケット数が少なければスループットが下がるという結果も見られたようだ。
(3)では、ルータのQoS機能のCAR(Committed Access Rate)技術を利用して、SYNパケットのトラフィック制限を行っている。この結果、CARを使えばSYNFlood攻撃のパケットをシステムが許容できる帯域まで下げられることが分かったという。しかし、正常な通信と攻撃かを区別なく帯域制御してしまうこともレポートに記されている。
ConnectionFlood攻撃は、長時間オープン状態を続けるコネクションを大量に作ることで、サーバのソケットを占拠しようとするもの。この攻撃に対しては、(1)OSのTCPコネクションキューの設定値による影響、(2)攻撃状況下のファイアウォール同時接続数の制限機能の効果の2つが検証されている。
(1)では、Webサーバクライアント数、TCPコネクションキューサイズ、TCPハンドシェーク完了待ちコネクションキューの最大サイズ、TCPハンドシェーク完了済みコネクションキューの最大サイズの4つを設定。キューに関する設定値を大きくすることで、多くの同時接続数を確保できたとまとめているが、設定にあたっては、関連するキューの設定を厳密に計算することや、対応するアプリケーションの設定値と合わせた調整が重要としている。また、キューの設定値だけでは不十分であり、ほかの防御機能と組み合わせた方策を採ることが望ましい、と述べられている。
(2)では、3ウェイハンドシェークを必要とするConnection Flood攻撃には、送信元アドレスごとの同時接続数を制限する手法は有効に機能する、とまとめている。送信元アドレスを元にルータやファイアウォールでアクセス制御を行うのも有効だという。
IPアドレスを偽装して発信元IPアドレス制限をさせずに帯域を占領するUDPFlood攻撃については、(1)攻撃パケットサイズの違いによる機器への影響を確認、それを踏まえて、(2)ネットワークデバイスによる防御対策の有効性を検証している。
(1)では、攻撃パケットにはショートパケットとロングパケットを使用しており、同じ通信量であれば、パケット数の多くなるショートパケットの方が、ファイアウォールのCPUリソースを顕著に消費することを確認。防御策として帯域幅を検討するには、単位時間あたりの処理バイト数のほか、処理パケット数も考慮する必要があるとまとめられている。
(2)では、攻撃パケットが試用しているプロトコル、パケット長やパケット量などを考慮して、状態に応じた最適な防御手法をとる必要があるとしており、ISPなどと連携して、より上位のポイントでトラフィックを制御することが望ましいとしている。
最後に、踏み台(Refrector)に送信元を偽装したSYNパケットを送信し、そこから偽装した送信元に反射パケット(SYN/ACKパケット)が送られることを利用して負荷をかけるDRDoS攻撃の(1)脅威の検証と、(2)ネットワーク機器の機能による防御、について検証を行っている。
(1)では、被攻撃サイトにおけるパケット量を検証。OSによって反射パケットの通信量が異なる結果となったが、どのOSにおいても送信するSYNパケットに比べて、20倍を超える反射パケットを送信することが分かった。一般的な接続環境から、DRDoS攻撃では自組織と上流ルータの間において最も深刻になる傾向があるという。
(2)では、Refrectorからのアクセス制御、特権ポートのパケットのアクセス制御、CRA機能によるポート別帯域制御などを消化視しているが、どの防御機能も十分とはならない、とまとめている。そのため、攻撃パケットの特徴をいち早くつかみ、それを元に防御機能を選択・設定することで、ある程度被害を回避できるという。
関連リンク
DoS/DDos対策について(警察庁技術対策課)@Police[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
