[CODE BLUE 2019] SYN/ACKパケットを用いたDDoS攻撃の脅威 [レポート] #codeblue_jp

CODE BLUE 2019「SYN/ACKパケットを用いたDDoS攻撃の脅威」についての参加レポートです。
2019.10.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

SYN/ACKパケットを用いたDDoS攻撃の脅威 Presented by 守田 瞬

IIJでは、情報分析基盤やMITF(Malware Investigation Task Force)の活動で設置しているハニーポットから得られる情報を元に様々な攻撃を調査しているが、2018年8月からSYN/ACKパケットを用いたDDoS攻撃を観測している。この攻撃をSYN/ACK Reflection攻撃と呼ぶこととする。

最近では2019年7月下旬から8月下旬にかけて、様々な対象に対して本攻撃が発生していることを観測しており、海外のホスティングサービス事業を展開している企業からは、実際の被害報告が公表された。

この講演では、身近な脅威となりつつあるSYN/ACK Reflection攻撃の現状を把握すると共に、対策に向けた取り組みの一つとして情報共有の重要性を説く。

レポート

守田瞬さんは、IIJで情報分析基盤を通して、ログの横断的な分析をおこなっている。 機械学習などのアプローチで居ジョンを検知する手法を検討している。

今回のアジェンダ

  1. SYN/ACK Reflection攻撃の原理
  2. 観測事例と情報共有の重要性
  3. 攻撃種別における判断の難しさ

1. SYN/ACK Reflection攻撃の原理

  • 3Way Handshakeが行われた後は偽装はできない
  • SYN/ACK パケットをもちいたDDoS攻撃がある(これはコネクションを結ぶ前の攻撃である)

SYN/ACK Reflection攻撃にでてくるアクター

  • 攻撃者
  • 攻撃対象
  • リフレクタ群

攻撃手法

  • 攻撃者は、まずリフレクタ群へSYNを送信する
  • リフレクタ群は、SYNパケットに応答してSYN/ACKパケットを攻撃対象へ送信する
  • これによって攻撃対象へDDoS攻撃が成立する
  • 3Way handshake で送信されるパケットにはペイロードは含まれないため、単一パケットとしての増幅率はない。
  • SYN/ACK Reflection攻撃における増幅率は、パケットの再送処理において言及される
  • 再送処理の再送回数が増幅率といえる

2. 観測事例と情報共有の重要性

  • 観測した結果として、ある程度の基幹で同じリフレクタが利用されることが多い
  • 許可していないTCPポートについては、SYNパケットを送信していない
    • すでにポートスキャンなどを下調べをおこなって攻撃している
  • 攻撃は、2018/08から攻撃パケットを観測している
  • 実際の被害事例は、海外のホスティングサービスの被害報告として208Mbps出ていた。
  • 攻撃として成り立つのか分からなかったが今回、情報共有され、観測することできた。

3. 攻撃種別における判断の難しさ

  • SYNパケットが大量に送信されるため、SYN Flood攻撃に感じる可能性がある
  • SYN パケットのみで事前に攻撃を判断するのは困難

まとめ

  • SYN/ACKパケットを用いたDDoS攻撃がすでに観測されている
  • この手法が頻繁に利用されると脅威になる可能性がある。
  • 単一の組織だけで判断することが難しいので、攻撃に対する情報共有・交換を行っていきたい

感想

DDoS攻撃として、SYN Flood攻撃が有名だが更に深刻な攻撃方法だと感じた。 今回のCODE BLUE2019で取り上げられているサプライチェーン攻撃と同じように情報共有し、1つのベンダーで対応することなく連携して攻撃者へ対していく必要性がある。