学者がTCPプロトコルを利用した新しいDDoS攻撃方法を発見したと発表しました。
https://www.usenix.org/system/files/sec21fall-bock.pdf
ファイアウォールやDPIボックスなどのミドルボックスを悪用して、この新しい形のDDoS攻撃を仕掛けることができます。
この新しいDDoS攻撃手法は、1000倍以上の増幅率を持つ攻撃を行うことができます。
今回発表された論文によると、TCPプロトコル、ファイアウォール、その他のネットワークミドルボックスを悪用して、インターネット上のあらゆる標的に対して巨大な分散型サービス拒否(DDoS)攻撃を仕掛ける方法を発見したと述べています。
メリーランド大学とコロラド大学ボルダー校のコンピュータ科学者らが発表したこの研究は、これまでDDoS攻撃には使用できないと考えられていたTCPプロトコルを利用して、DDoS反射型増幅攻撃を実行する方法を説明した初めてのものとなります。
さらに、TCPプロトコルを悪用したDDoS攻撃の増幅率は、UDPプロトコルよりもはるかに大きいため、このTCPプロトコルの悪用は、これまでに知られているDDoS攻撃の中でも最も危険な形態の一つであり、今後も悪用される可能性が高いとのことです。
DDoS反射型増幅攻撃の仕組み
この研究の重要性を理解するためには、DDoS攻撃について簡単に理解する必要があります。
DDoS攻撃は、2000年代初頭に初めて報告され、当初は家庭のコンピューターを乗っ取ってウェブサイトへのリクエストを一斉に送信し、被害者のホスティングインフラを圧迫することで行われていました。
しかし、年を追うごとに、DDoS攻撃の手法も多様化していき、その中でも特に危険なのが”DDoS反射型増幅攻撃 “と呼ばれるものです。
これは攻撃者がインターネット上の第三者のサーバーにネットワークパケットを送信し、そのサーバーが処理してはるかに大きな応答パケットを作成し、そのパケットを攻撃者ではなく被害者に送信するというものです(IPスプーフィングと呼ばれる技術を利用しています)。
この技術により、攻撃者は中間地点を経由して被害者に向けてトラフィックを効果的に反射/跳ね返し、増幅することができます。
このことから見ても、DDoSの反射型増幅攻撃方法としては、SNMP、DNS、NetBIOS、CoAP、NTPなどのUDPベースのプロトコルを実行しているサーバーが最適とされていました。
その理由は、UDPプロトコルが単純な2段階のリクエストとレスポンスのプロセスを使用しているため、DDoSボットネットのオペレーターが簡単に悪用して攻撃することができるためです。
一方、TCPの接続は3者間ハンドシェイクで始まり、攻撃者はハンドシェイクを完了できないためIPスプーフィング技術を使用することができず、攻撃者が攻撃トラフィックを増幅して反映させる前にサーバーが接続を切断してしまいます。
しかし、今回発表された研究によると、研究者たちはTCPプロトコルを悪用して反射型増幅DDoS攻撃を行う方法を初めて発見し、非常に危険な結果をもたらしたと述べています。
発見されたTCPベースの反射型増幅型DDoS攻撃方法
今回発見された欠陥は、ミドルボックスの設計にあります。ミドルボックスとは、大規模な組織内に設置され、ネットワークトラフィックを検査する機器のことです。
ミドルボックスには通常、ファイアウォール、ネットワーク・アドレス・トランスレーター(NAT)、ロードバランサー、ディープ・パケット・インスペクション(DPI)システムなどが含まれています。
研究チームによると、TCP接続の3ウェイハンドシェイク全体を再現しようとするのではなく、標準的ではないパケットシーケンスの組み合わせをミドルボックスに送信することでミドルボックスにTCPハンドシェイクが終了したと思わせ、接続処理をさせることができることを発見したとのことです。
通常のトラフィックであれば問題にはなりませんが、攻撃者が禁止されたWebサイトにアクセスしようとした場合、ミドルボックスは「ブロックページ」で応答します。このブロックページは通常、最初のパケットよりもはるかに大きなサイズであるため、増幅効果が生じます。
研究チームは、大規模な実験の結果、国家の検閲システムや企業のポリシーによって一般的にブロックされているWebサイトが最適なTCP DDoSの手法になりうると考えられると述べています。
攻撃者は、ポルノやギャンブルのサイトに接続しようとするミドルボックス(ファイアウォール、DPIボックスなど)に不正なTCPパケットを送信し、ミドルボックスはHTMLブロックページを返信して、IPスプーフィングにより内部ネットワークに存在しない被害者に送信します。
研究チームは、世界的に禁止されているさまざまなWebサイトをテストしましたが、特に下記カテゴリは、インターネット上のほとんどのミドルボックスからブロックページの応答が得られる傾向があり、これらの攻撃の信頼できる「トリガー」となることを発見しました。
- www.youporn.com (ポルノ)
- www.roxypalace.com (ギャンブル)
- plus.google.com (ソーシャル・メディア)
- www.bittorrent.com (ファイル共有)
- www.survive.org.uk(性的健康/教育)
ミドルボックスが巨大なDDoS増幅要因となる
研究チームによると、すべてのミドルボックスが同じようにテストに反応したわけではないそうで、あるものは他のものよりもトラフィックを増幅し、またあるものは反応すらしなかったとのことです。
メリーランド大学の研究者であるケビン・ボックはインタビューで、トラフィックの増幅要因はミドルボックスのデバイスタイプ、ベンダー、構成、ネットワーク設定によって異なると語っています。
ボック氏によると、研究チームはIPv4インターネットアドレス空間全体を35回スキャンして、TCP DDoS攻撃を増幅することが可能なミドルボックスを発見しリスト化しました。
その結果、攻撃に悪用される可能性のあるネットワークミドルボックスに対応する2億個のIPv4アドレスを発見したとのことです。
ほとんどのUDPプロトコルの増幅率は通常2~10倍なのですが、ごく少数のTCPプロトコルを使用すると100倍以上に達することもあるとのことです。
今回の調査では、100倍以上の増幅率を持つIPアドレスが数十万個見つかっており、これまでに知られている増幅率の高いUDPプロトコルよりもはるかに大きな数のネットワークミドルボックスがDDoS攻撃に悪用される可能性があることが明らかになりました。さらに増幅係数が数千から1億までの範囲にある数千のIPアドレスも発見しました。これは、このような攻撃では考えられない数です。
これらのシステムの多くは膨大なトラフィック負荷で動作しており、トラフィックループの設定が誤っている場合があります。この場合、同じ不正なTCPパケットを同じミドルボックスや他のミドルボックスを経由して何度も送信し、無限ループのDDoS攻撃を効果的に行うことができます。
研究者によると、このような状況は中国やロシアが採用している検閲システムでよく見られるとのことです。
ネットワークをテストするツールを公開
この研究と攻撃手法は昨年発見されたものですが、今回公開されたのは、研究チームが昨年から広範な情報開示を行っている最中だったためです。
ボックすは、研究結果の公開を調整するため、中国、エジプト、インド、イラン、オマーン、カタール、ロシア、サウジアラビア、韓国、アラブ首長国連邦、検閲システムやミドルボックスのベンダーの多くが拠点を置く米国のCERTチームなど複数の国レベルのComputer Emergency Readiness Teams(CERT)に連絡を取りました。
また、このような攻撃に遭遇する可能性が高く、近い将来対処しなければならない可能性が高いDDoS軽減分野の企業にも通知しました。
「Check Point、Cisco、F5、Fortinet、Juniper、Netscout、Palo Alto、SonicWall、Sucuriなどのミドルボックスベンダーやメーカーにも連絡を取りました」と述べています。
今回の調査とその結果は広範囲にわたっているため、この攻撃手法に対処するには、ファームウェアのパッチだけではなく、これらのミドルボックスがインストールされているネットワークへの設定アップデートの導入も必要になります。
この攻撃に対する対策や緩和策の一部は、研究論文に記載されています。
研究チームは、ネットワーク管理者がファイアウォール、DPIボックス、その他のミドルボックスをテストし、それらのデバイスがこの問題に影響するものかどうかを確認するために使用できるツールを公開することも計画しているとのことです。
Comments