Hatena::ブログ(Diary)

ロストテクノロジ研究会 このページをアンテナに追加 RSSフィード

2017-11-07

現在あるサイトがDNSサーバ攻撃を受けている。DNSサーバ攻撃はシンプルであり根本的対策は困難である。

01:28 | 現在あるサイトがDNSサーバ攻撃を受けている。DNSサーバ攻撃はシンプルであり根本的対策は困難である。を含むブックマーク 現在あるサイトがDNSサーバ攻撃を受けている。DNSサーバ攻撃はシンプルであり根本的対策は困難である。のブックマークコメント

現在あるサイトがDNSサーバ攻撃を受けており、接続できない状況にあります。このサイトは現在緊張の度合いを増しつつある極東諸国の情報を網羅的に掲載しているものです。

-----------

DNSサーバ攻撃についてはこちら。

IoTウイルスの脅威 DNSサーバーを“水責め”、IoTウイルスの多様な攻撃

吉岡 克成=横浜国立大学大学院環境情報研究院/先端科学高等研究院 准教授

2016/12/16

出典:日経NETWORK 2016年12月号pp.57-59

(記事は執筆時の情報に基づいており、現在では異なる場合があります)

http://itpro.nikkeibp.co.jp/atcl/column/16/112900283/112900005/

 IoT機器に感染したウイルスは、攻撃者の命令に従って様々な攻撃を仕掛ける。筆者らが確認した攻撃の一つは、「DNS水責め攻撃」と呼ばれる、DNSサーバーへのDDoS攻撃だ。

 DNS水責め攻撃では、ウイルス感染機器が接続するISP▼などのキャッシュDNSサーバー▼に対して、攻撃対象のドメインにランダムなサブドメインを追加したドメイン名を問い合わせる。

筆者らが確認したIoTウイルスによる「DNS水責め攻撃」の例。DNSサーバーへのDDoS攻撃一種ウイルスは、実在しないサブドメインを含むドメイン名の名前解決要求を大量に送信する。すると、ISPキャッシュDNSサーバーやそのドメインの権威DNSサーバーに負荷がかかり、サービスを提供できなくなる。

 実在しないドメイン名なので、キャッシュDNSサーバーには保存されていない。そこでキャッシュDNSサーバーは、攻撃対象ドメインの権威DNSサーバー▼に問い合わせる。

 ISPキャッシュDNSサーバーには、ウイルス感染した大量のIoT機器から、名前解決要求が次々と送られてくるので、通信回線やサーバーの処理能力といったリソースが枯渇する。それ以上に影響が深刻なのは権威DNSサーバーだ。世界各地のキャッシュDNSサーバーからの問い合わせが集中し、応答が遅延。最悪の場合、サーバーがダウンする。

 なお筆者らは、外部からの通信は通すが、外部への通信は遮断する環境でIoTウイルスを実行して観測した。このため制御サーバーからの命令は受信できたが、名前解決要求は外部のDNSサーバーには送信されていない。

 そのほかの攻撃としては、セットトップボックス▼からの認証情報の窃取が挙げられる(図15)。ある特定のセットトップボックスでは、有料放送を見るための認証情報が、設定ファイルに記載されていることが知られている。筆者らが観測したあるIoTウイルスは、この設定ファイルを取得し、外部に送信しようとした。

◯企業はDNSを狙うサイバー攻撃に弱い--Infoblox調査

ZDNet Japan Staff 2017年10月12日 06時00分

https://japan.zdnet.com/article/35108608/

 インターネット利用に欠かせないDomain Name System(DNS)を狙うサイバー攻撃に対して企業の大半が脆弱であるという。ネットワークセキュリティを手掛ける米InfobloxとDimensional Researchが実施した調査結果から分かった。

 ウェブサイトドメインIPアドレスをひも付けるDNSは、インターネットアクセスに不可欠なインフラの1つとなる。DNSを狙う攻撃手法には、インターネットユーザーを不正サイトに誘導するハイジャックや、サービス妨害DoS)を狙って「名前解決」と呼ばれる機能への要求を増幅させるリフレクションなど、さまざまなものがあり、被害に遭えばインターネット利用に深刻な影響が出る。

 調査は、2016年10月にDynがIoTマルウェア「Mirai」による分散型のDoS(DDoS)攻撃によって、大規模なインターネット接続障害に見舞われた事件から約1年が経過したことを踏まえて実施したという。1000社以上のセキュリティやITの担当者が回答した。

 それによると、平均で10社中3社がDNSへの攻撃で被害に遭い、そのうち40%は1時間以上ものダウンタイムよってビジネスに大きな影響を受けたことが分かった。71%の企業はDNSへの攻撃をリアルタイムに監視していたが、このうち86%の企業は攻撃の発生を適切に把握できない状況にあった。20%の企業が外部からの苦情などで、攻撃の事実を把握していたという。

 また、DNSに対する攻撃によって24%の企業が10万ドル以上の損失を被り、5万ドル以上の損失を経験した企業も54%に上っていた。DNSに対する主要な攻撃手法の全てを防御できる企業は37%で、Infobloxは、「63%が本質的に攻撃に対して無防備状態」と指摘している。多くの企業はアンチウイルスを優先しており、DNSセキュリティは後回しにされがちだとしている。

 Dimensional Researchは、企業の多くが実際に攻撃を受けてからDNSの防御に取り組みだすという状況が浮き彫りになり、予防措置的に取り組まなければ、Dynで発生したような被害が蔓延するだろうと警鐘を鳴らしている。

◯進化する「DDoS攻撃」にどう挑むか【第2回】

DDoS攻撃=大規模攻撃」は勘違いだった? 実際の攻撃手法はこれだ (1/2)

2017年04月20日 09時00分

DDoS攻撃を仕掛ける攻撃者は、具体的にどのような手法で攻撃を進めるのだろうか。主要な攻撃手法について詳しく見ていこう。

[佐々木 崇,アーバーネットワークス]

http://techtarget.itmedia.co.jp/tt/news/1704/20/news02.html

DDoS攻撃は、発生するトラフィックの多寡や影響箇所によって、大きく以下の3種に大別できる。

主にネットワーク層レイヤー3)を狙い、大量のトラフィックを発生させてネットワークを混雑させる「ボリューム型攻撃」

主にトランスポート層レイヤー4)を狙い、コネクション(論理的な回線)の確立要求後や確立後に放置するといった手法で、攻撃対象のシステムリソースを枯渇させる「状態枯渇攻撃」

主にアプリケーション層(レイヤー7)を狙い、コネクション確立後に大量のコンテンツ送受信を要求するといった手法で、攻撃対象のシステムリソースを枯渇させる「アプリケーション層攻撃」

併せて読みたいお薦め記事

ボリューム型攻撃

 DDoS攻撃の中で一番分かりやすく、また多くの人が経験しているのがボリューム型攻撃だ。アーバーネットワークスが発行した調査結果「第12版年次ワールドワイド・インフラストラクチャセキュリティ・レポート」によると、組織(企業や政府機関、教育機関)の約6割がボリューム型攻撃を経験済みだ。

リフレクター攻撃

 ボリューム型攻撃の攻撃手法の例として「リフレクター攻撃」(アンプ攻撃とも呼ばれる)を挙げる。「DNSリフレクター攻撃」「NTPリフレクター攻撃」といったリフレクター攻撃では、インターネットに存在する、管理が行き届いていないDNSサーバNTPサーバが踏み台となる。攻撃者は送信IPアドレスを攻撃先IPアドレスとして、DNSサーバNTPサーバへリクエストパケットを送る。その結果これらのサーバは、レスポンスパケットを攻撃先サーバへ返すこととなる。

 リフレクター攻撃が「アンプ攻撃」とも呼ばれるのは、リクエストのパケットサイズに対して、レスポンスパケットが数十倍のサイズになることが背景にある。そのレスポンスパケットは、通常のDNSサーバNTPサーバからのレスポンスパケットと何ら変わりがない。

状態枯渇攻撃

 状態枯渇攻撃は、例えばコネクションを張ったまま放置する「コネクションフラッド攻撃」や、SSLセッション通信の開始から終了までの管理単位)を張った後に通信をしないような攻撃を指す。ボリューム型攻撃とは異なり、サーバに対して直接影響を与える攻撃であり、後述するアプリケーション型攻撃に近い。

SYNフラッド攻撃

 多くの読者が耳にしたことがあるであろう「SYNフラッド攻撃」(SYNフラッディングとも呼ばれる)は、TCPコネクションの確立手順「3ウェイハンドシェイク」において、接続要求を意味するSYNフラグを有効にした「SYNパケット」を連続して送り続ける。規模が大きい場合はボリューム型攻撃に分類されることもあるが、サーバに影響を与える攻撃であることから、ここでは状態枯渇攻撃の手段の例として取り上げる。

 3ウェイハンドシェイクでは、クライアントサーバとの間でパケットを3回やりとりすることで、TCPコネクションを確立する。その最初にクライアント送信するパケットがSYNパケットだ。SYNパケットを受けたサーバは、TCPコネクション確立のためにSYNフラグと確認応答を意味するACKフラグを有効にした「SYN+ACKパケット」を送り返すことになる。

 大量のSYNパケットを受けたサーバは、TCPコネクションを保持するためのリソースが枯渇する状態となる。このため攻撃者だけではなく、正規ユーザーからのアクセスであっても受け付けることができなくなってしまう。これがSYNフラッド攻撃だ。サーバからは、攻撃に用いられるSYNパケットと正規ユーザーからのSYNパケットは全く同じように見えるので、両者を区別できない。

アプリケーション層攻撃

トラックバック - http://d.hatena.ne.jp/losttechnology/20171107/1509553683