サービス停止攻撃 DoSやDDoS

Webサーバーやメールサーバーなどのサービスを 停止する攻撃で、DoSやDDoSと呼ばれるものがあります。

DoS (ドス)

Denial of Services で、 直訳するとサービス拒否の攻撃です。
サービス不能攻撃やサービス妨害攻撃と呼ばれることもあり、 次の2つのタイプがあります。

  1. サーバーやネットワーク機器の脆弱性を突いて、例外処理を起させるものです。
    例えば、想定されていないデータをサーバーに送り、サービスを不能にします。
  2. サーバーが過負荷になる情報を送り、ダウンさせる方法です。
    (SynFlood攻撃、メール爆弾、その他ホームページへの過剰アクセス)
    意図的な攻撃か、偶発的にアクセスが増えているかを判断することが難しい状況です。

以下に過去の例を挙げます。

PING of Death(ピン・オヴ・デス): IPパケットの最大長は65,536バイトですが、 これを超える長さのパケットを受信すると、不具合を起こす機器があって問題になったことがありました。 (脆弱性によるものなので、パッチの適用で防げます。)

SynFlood攻撃(SYN Flooding Attack:シン・フラッディング・アタック)TCPにおいてサーバーでは、 クライアントからの接続要求であるSYNを受け取ると、 応答のSYN+ACKをクライアントへ送り返します。
そして、次にクライアントからACKの確認応答を受け取ると、始めて接続が確立します。
このクライアントからの確認応答が届かない状態は、 ハーフオープン(接続を半分確立した状態)と呼ばれ、 タイムアウトするか、ACKを受け取るまで応答待機のためのメモリを使います。
このこの半分確立した状態を氾濫(flood)させるようにパケットを送る攻撃がこれです。

消極的ですが、同じIPアドレスから連続したSYN要求が送信されても、 接続を拒否する対策があります。

メール爆弾: メールサーバーのディスクなど、サーバー能力を超えるような大量のメールを送信する攻撃です。

DDoS (ディーディーオーエス)

Distributed Denial of Service です。
これは、DoS攻撃を行うホストが分散している時の呼び方です。
つまり、攻撃対象のサーバーが1に対して、攻撃するコンピュータが複数いる状況です。
(数千から数万のホストから同時攻撃を受けた事例もあります)
攻撃するコンピュータの管理者は、攻撃に使われていることを知らないことが多く、 いつの間にか攻撃の踏み台に使われている状況です。
現在有用な対策がない状況です。各コンピュータの管理者が、踏み台にされないように 管理するしかないというところでしょうか