DoS攻撃について

代表的なネットワーク攻撃にはDoS（denial-of-service)攻撃がありますが、DoS攻撃については以下のような特徴があります。

・情報を保持するようなWeb Siteが狙われる

・シンプルで、大抵の場合、かなり有効である

・直接重要情報を持ち出すような攻撃ではない

・アタッカーは正規のユーザがそのサービスを使えないように妨害する

・アタッカーは比較的目につきやすいWebサーバや、ルータ、ネットワークリンクなどの対象を攻撃する

DoS攻撃の例

あるメールサーバが秒間10メッセージを処理できるとします。

その場合、攻撃者は単純に秒間20メッセージを送信するだけで、DoS攻撃と言えます。

この攻撃が行われた場合、正規のトラフィックは（同様に多くの悪意あるトラフィックも）ドロップされるか、あるいは、メールサーバが完全に応答しなくなります。

注意しなければならないのは、この種の攻撃は、本来のシステム本体への攻撃を隠すための陽動として使われている可能性があります。

更に言うと、管理者は攻撃の最中に誤った設定変更や対処などを行う恐れが高まり、それが更なる脆弱性に繋がる可能性があります。

DoS攻撃の種類

Dos攻撃の種類には以下のようなものがあります。

・Buffer Overflow Attack

・SYN Flood Attack

・Teardrop Attack

・Smurf Attack

・DNS Attack

・E-mail Attack

・Physical Infrastructure Attack

・Virus / Worm

Buffer Overflow Attack

最も一般的なDoS攻撃です。攻撃者は、プログラムが許容できる範囲を超えたトラフィックを送り付け、バッファのオーバーフローを引き起こします。

SYN Flood Attack

ネットワーク内でサーバとクライアントのセッションが開始されるとき、セッションをセットアップするのに、高速なハンドシェーク交換メッセージがやり取りされます。

その際、メッセージを扱うのに必要な非常に小さなスペースが生まれます。セッションの確立パケットはシーケンスの順番を示すSYNフィールドを含みます。この種の攻撃の原因は、確実に応答を行わないようななりすましアドレスから行われます。

Teardrop Attack

パケットを受け取るルータが扱うには大きすぎて、フラグメントしてしまうようなIPパケットを使用します。

Teardrop Attackでは、攻撃者のIPは2つめあるいはそれ以降のフラグメントパケットに、受信者を混乱させるような値を投入します。

パケットをシステムが受信した場合、そのフラグメントパケットを再構築することができず、システムのクラッシュを引き起こす可能性があります。

Smurf Attack

攻撃者は攻撃対象のIPアドレスをSourceアドレスに設定したPingパケットを、複数のホストにブロードキャストで送信します。

すると、ICMPリクエストを受け取った複数のホストは、自分のIPアドレスをSourceアドレスに設定したICMP応答を攻撃対象に返します。

その結果、大量のPing応答が攻撃対象のホストに送信されます。

トラフィックが対象ホストをダウンさせるのに十分な量であった場合、対象ホストは本当に重要なトラフィックを処理できなくなります。

DNS Attack

有名なDNS攻撃はDDoS Pingアタックです。

攻撃者はインターネット上のホストに侵入します（通常ゾンビなどと呼ばれます）。そして、正規のホストから、でっち上げたパケットを13のDNS rootサーバに送信します。

攻撃の目的はサーバとサーバへの通信リンクを詰まらせることです。

この攻撃により、必要なトラフィックが停滞します。

DNSのみへの攻撃ではなく、同様の攻撃は人気のWebサーバに対しても行われることが近年増加しています。

Email-Attack

この攻撃は、以下のような攻撃を含みます。

Microsoft Outlookを使っている場合に、スクリプトがアドレス帳を読んで、そのコピーをアドレス帳にリストされている全員に送信します。

よって、その情報はインターネット上にばらまかれることになります。

コンピュータのレジストリを書き換えるようなスクリプトを仕込んでおいて、再起動したとしてもそのスクリプトが走るようにコンピュータの設定を書き換えてしまいます。

Physical Infrastructure Attack

誰かがケーブルを抜いてしまうなどもこの攻撃に含まれます。

あるいは、大規模テロリズムのように、コンピュータシステム全体や、大規模なインフラ全体を破壊する行為もこの攻撃に含まれます。

Virus / Worm

ウィルスやワームは、様々な方法で自分自身をネットワークを超えて増殖させます。攻撃対象が明確でない場合が多く、単純にホストがウィルス感染した場合、運が悪かったと言えます。

有効な帯域がウィルスやワームで圧迫され、新たな被害者をウィルスやワーム自身が探します。

日本で有名なDoS攻撃としては、某国の皆様による2chサーバへのF5アタックなどがあります。

極めて簡単に開始することが可能であり、数が集まると非常に有効な攻撃であると言えます。

実際に2chを閲覧できないような事態はしばしば発生しておりますので、攻撃者にとっては要件を満たしたことになると思います。

しかし、攻撃してもあまり実害のないものを攻撃すると、被害者と攻撃者の利害関係がずれているというナンセンスな事態を招きます。

いつも思いますが、非常に滑稽で、純粋無垢な時間の浪費を見ているような気がしてしまいます。

サーバはアメリカにありますし・・・

ただ、アメリカのサーバ運営会社は実際に被害を受けているので、訴訟を起こすことを検討しているような話もちらほら聞きます。

実際に訴訟を起こすような事態になれば、FTAの成立後ということもありますから、TPPの要否を冷静に判断できるようないいサンプルとなるかもしれません。

日本政府がwise enoughであれば、あるいは、恣意的にF5攻撃を煽動するようなことも・・・？