少し前の記事で、企業が「DoS攻撃?と悩んだら相談を」ということで、情報処理推進機構(IPA)さんがサービス妨害攻撃(DoS攻撃)に対する留意事項をまとめた報告書を12月に公開することの表明、また、「情報セキュリティ安心相談窓口」を通じて、DoS攻撃に関する相談にも対応していることを改めて表明していました。
(参考記事:http://www.atmarkit.co.jp/news/201011/30/ipa.html )
もし「うちの会社はDoS攻撃を受けている」ということになった場合、まずはIPAさんに相談するのがいいかもしれません。DoS攻撃をしかけておいて「止めてほしかったら金を払え」と脅迫してきたり、セキュリティ関連会社を装って「~円払えばうちが止めてあげます」みたいな感じで、やっぱり金を取ろう、という犯罪もあるようですしね。そうなるとやっぱり、どこか相談できるところがあるほうがいいかと思います。
情報セキュリティ安心相談窓口:http://www.ipa.go.jp/security/anshin/
DoS攻撃かぁ・・・。そういえばまだスクール時代にいたときにWebサーバがDoS攻撃食らったことあります。ホームページかなんかを勉強している生徒さんが使っている共有公開サーバで、「反応が遅い」と複数の生徒さんから報告があったのがきっかけのようです。そして、サーバなどのログを確認し、「外国のどこだかのサーバからすごく頻繁にアクセスが続いている。帯域を圧迫するほどのトラフィック量ではないものの、サーバに大量にアクセスログが記録されるので、それでディスクがいっぱいになってしまってまともに動かない、という現象でした。
このときは攻撃元が単一だったため、Ciscoルータでアクセスリスト(ACL)でそのIPからの通信を全部拒否することによって事なきをえました
多分、攻撃しているサーバ自体もワームかなんかに感染してそうなったのかな、でも、なんでうちみたいな有名ではないところを狙ってきたのかな、なんて話がスクールのスタッフ内では出ていました。まあ、どこであっても、大企業じゃなくてもターゲットになることはありえる、ということですね・・・。
攻撃をブロックする、というと普通はファイアウォールやUTMなどのセキュリティ製品の役割になるかと思います。DoSやDDoSなんかももちろんそうです。一般的な方法としては、1つの端末で使用できる帯域や、攻撃とみなした送信元からを制御したり、コネクション数(特にハーフオープンのもの)を制限したり、というのが一般的な方法かと思います。ファイアウォールはもちろん、サーバ側でもハーフオープンのセッションは早めにタイムアウトする、というようにすれば、リソースの消費をある程度おさえることもできます。
以前、会社で「お客さんところである機種のファイアウォールを使っているが、そのファイアウォールでハーフオープンのセッションを一定時間後にタイムアウトさせることはできる?」という話が出てましたが、こちらは特定のファイアウォールの特別な機能でもなんでもなく、セキュリティ製品ならどれでも対応しているものですね。
DoSとは直接関係はないですが、別の質問としては「TCPなどのシーケンスに従わないもの、たとえば、TCPSynから開始されないTCP通信をはじく機能もあるの?」というものもありました。これもファイアウォールだったら一般的な機能です。
ただまぁ、確かにファイアウォールではDoS/DDoSを防ぐためのさまざまな機能がありますが、特にDDoS対策は非常に難しいですし、完全な対策、というのはないと思います。http://pc.nikkeibp.co.jp/article/column/20100125/1022442/ などで紹介されているように、膨大な台数のPCをワーム感染させてボットネットを形成し、そこから一斉に攻撃をしかける、というような場合、ファイアウォールやUTMで防いだところで、データセンターの回線そのものがパンクしてしまう、なんてこともあります。相手の規模が極端に大きい場合だと、自分だけの力だとどうしょうもない、というのは確かにそのとおりだと思いました。
まあ、たとえば自分の自宅を想定した場合、鍵をかければそれだけでもある程度は安全性が確保できますし、強化ガラスを使ったり防犯のシステムを完備させることは多少お金をかければできます。それでも爆撃機や戦車が襲ってきたらひとたまりもないですもんね。
あとは「攻撃とそうでないものの線ひきが難しい場合もある」ということですかね。たとえば、有名人だったり話題のイベントのニュース直後だったりすると、一時的に爆発的なアクセスがある場合もありますしね。サーバからすると起きてることはあまりかわらないかもしれないですが、これは明らかに攻撃とは異なります。これを単純に流量などで制限するのは難しいでしょうし。
そういえば、Ciscoさんが以前販売していた製品でCisco Guard/Detectorというのがありました。
http://www.cisco.com/web/JP/product/hs/security/ddos/prodlit/guard_video.html
http://www.ciscopress.biz/web/JP/ciscoitatwork/doc/cisco_it_case_study_cisco_guard_projection_jp.pdf
以前、Ciscoさんのセミナーで紹介されていたのを聴いたときのですが、しくみとしては「攻撃だとみなせるトラフィックがきたら、そのターゲットとなっている自社の公開サーバあてのルーティングテーブルを、ルーティングプロトコル(BGP)を使ってGuard/Detector側に変更し、Guard/Detectorはそのトラフィックの正当性を確認して転送/破棄を判断する」というような感じです。
動的ルーティングプロトコルを使う、ということなので当然対象は大規模ネットワークになりますが、それにしても「BGPを使ってルートを曲げるなんで、Ciscoさんらしいね・・・」なんて社内で話題なった記憶があります。
もちろん、これまで書いたように、「いくら対策しても規模によってはどうしようもない」ということもありますし、資産価値以上のお金をかけたセキュリティ対策をするのも本末転倒です。セキュリティ対策は「可能な限り際限なくやるべき」ではなく「費用対効果のバランスを考える必要がある」ということですね。
この記事が気に入りましたら、また、お役に立ちましたら、以下のアイコンをクリックしていただけると嬉しいです(^^)
