サービス不能になってしまうSYN FLODD攻撃を防ぎたい
この記事は会員限定です。会員登録すると全てご覧いただけます。
SYN FLOODは、インターネットサーバのサービスに負荷を掛けることでダウンさせてしまう攻撃名として有名だ。正常なTCP/IPのやりとりでは問題無いものの、セッション確立を無視したパケットが蓄積され続けると、事実上httpなどがダウンしてしまう。
多くのディストリビューションでインストールされるinetd自体にも問題はあるものの、次のような設定でSYN FLOODに対する防御が可能だ。これには「Syncookie」(CONFIG_SYN_COOKIES)機能がカーネルビルドされていることが前提だが、最近のRed Hat Linuxなどでは標準インストールでサポートされている。
しかしSyncookie機能そのものは無効になっていることがほとんどのため、有効にしておくとよいだろう。確認するには次のように指定すればよい。「0」と表示されれば、Syncookieは無効となっている。
# cat /proc/sys/net/ipv4/tcp_syncookies 0 ←無効になっている
有効にする設定は極めて簡単だ。次のように入力するだけで有効になる。しかし、マシンの再起動後にはクリアされてしまうため、起動時に実行される/etc/rc.d/rc.localファイルに記述しておけばよいだろう。
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
上記の設定によって、蓄積キュー(SYN)があふれた場合には送信元にsyncookieが送信される。ただし、この機能によって一般的なソケット蓄積の概念が放棄されるため、正常なアクセスによってサーバが過負荷になった場合でも、アクセス側に正常なエラーメッセージが送信されない可能性があるのだ。
現時点での根本的な解決には、tcpserverやxinetdなどの導入検討も必要だろう。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。