攻撃と脅威
SYN フラッド
定義
TCP の 3 ウェイハンドシェイクを完了させずに大量の SYN パケットを送り付け、標的の接続状態リソースを枯渇させる DoS 攻撃。
SYN フラッドでは、攻撃者が大量の TCP 接続を開始しつつ最後まで完結させません。送信元を詐称したり応答しなかったりすることで、サーバーはバックログにハーフオープン接続を確保し SYN/ACK を返したまま、最後の ACK を永遠に待ち続けます。バックログが埋まると、新規の正当な接続が拒否されます。攻撃源は単一ホストの場合もありますが、より一般的にはボットネットからで、送信元 IP を偽装してフィルタリングを困難にします。緩和策には、SYN cookies(ハーフオープンごとの状態保持を不要にする)、SYN キューの拡大や動的調整、ファイアウォール・LB での接続レート制限、ネットワーク端での無状態フィルタリング、上流での DDoS スクラビングなどがあります。
例
- ボットネットが Web サーバーへ毎秒数百万件の偽装 SYN を送り、TCP バックログを埋め尽くす。
- SYN cookies のない旧式アプライアンスを小規模な攻撃者が突き、接続テーブルを崩壊させる。
関連用語
サービス妨害攻撃 (DoS)
システムの帯域・処理能力・メモリ・アプリケーション資源を枯渇させ、正当な利用者がサービスを利用できなくする攻撃。
分散型サービス妨害攻撃 (DDoS)
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
DDoS 増幅攻撃
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
LAND 攻撃
送信元 IP/ポートを宛先と同一にした偽装 TCP SYN を送り、脆弱なシステムをループやクラッシュに陥らせる旧式の DoS 攻撃。
Ping of Death
不正または巨大な ICMP echo パケットを送信し、再構築時に脆弱な TCP/IP スタックをクラッシュ・ハング・再起動させる古典的な DoS 攻撃。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。