Linux勧告ウォッチ - 2005年12月30日（金）

IPv6のVoIP向けTCP SYNフラッド攻撃対策（パートII）
著者：Suhas Desai

一般的なDoS攻撃はいくつかに分類される。一部のグループでは、帯域幅攻撃、プロトコル攻撃、論理攻撃の3種類に分類している。以下、一般的なDoS攻撃の種類を簡単に説明する。

3.1 帯域幅攻撃

帯域幅攻撃は、ネットワーク回線や機器スループットなどのリソースを消費させるという比較的単純な攻撃だ。大量データによる攻撃で、ISPとユーザサイトの間の使用可能回線容量を使い果たす。接続はいっぱいになり、正当なトラフィックの速度が低下する。タイムアウトが発生して伝送が再試行されると、トラフィック量はさらに増す。攻撃者は、ユーザのネットワーク接続でトラフィックを伝送することで回線容量を使い尽くすことができる。基本的なフラッド攻撃では、UDPパケットまたはICMPパケットを使って単純に回線容量を使い果たす。さらに、トラフィックがネットワークにルーティングされる限りは、TCPパケットかIPローパケットで攻撃が構成されることもある。

単純な帯域幅消費攻撃は、小さいパケットを多数送りつけて高パケット率にすることで、サーバまたはネットワーク機器のスループット限界を超えさせる。通常、高パケット率攻撃では、トラフィックが使用可能回線容量の限界に達する前にネットワーク機器が動作不能になる。ルータ、サーバ、ファイアウォールには、どれも入出力処理、割り込み処理、CPU、メモリ、それぞれのリソースに制限がある。トラフィックのルーティングのためにパケットヘッダを読み取るネットワーク機器には、データ量（Mbps）ではなく高パケット率（pps）処理に負荷がかかる。実際、Denial of Serviceは、単なるトラフィック量ではなく、高パケット率によって発生することが多い。

3.2 プロトコル攻撃

基本的なフラッド攻撃は、一般的なネットワークプロトコルの設計の特徴を悪用することで、ずっと緻密なものになる。そのような攻撃は、TCP/IPスタックやネットワークアプリケーションの弱点を直接的に悪用するのではなく、TCP、UDP、ICMPなどのプロトコルで予期される動作を攻撃者に都合よく利用するというものだ。プロトコル攻撃の例として、以下のものがある。

3.2.1
SYNフラッド攻撃は非対称リソース枯渇攻撃で、攻撃者は標的に大量のTCP SYNパケットを送信し、標的は接続要求として認知されるものを受け入れようとリソースを割り当てる。前述のとおり、Host Identity Payload and Protocol（HIP）はSYNフラッド攻撃の被害を軽減するように設計されている。もう一つの防御策として、一部のTCP/IP スタックではSYN Cookieが実装されている。

3.2.2
スマーフ攻撃は、非対称リフレクタ攻撃で、脆弱なネットワークブロードキャストアドレスを標的とし、標的の偽装アドレスを発信元とするICMP ECHO REQUESTパケットを送信する。

3.2.3
フラグル攻撃は、スマーフ攻撃の変更版で、標的の偽装アドレスを発信元として、ブロードキャストアドレスでechoポートやchargenポートにUDPパケットを送信する。

3.3 ソフトウェア弱点攻撃

ネットワークリソースや状態リソースを狙ったフラッド攻撃やプロトコル攻撃とは異なり、論理攻撃は、Webサーバなどのネットワークソフトウェアや基になるTCP/IPスタックの弱点を悪用する。弱点によっては、たった 1 つのパケットを細工するだけで悪用できる。

3.3.1
ティアドロップ（bonk、boink）攻撃は、IPフラグメントのオーバーラップを正しく処理していないTCP/IP IPスタックを悪用する。

3.3.2
Land攻撃は、IPパケットの送信元アドレスとポートを送信先アドレスとポートと同じにする。

3.3.3
Ping of Death攻撃は、1 つの大きい ICMP ECHO REQUESTパケットを標的に送信する。

3.3.4
Naptha攻撃は、細工したTCPパケットを使ってTCP/IPスタックの弱点を悪用するリソース枯渇攻撃だ。これら一般的な種類の攻撃から派生するさまざまなバリエーションがあり、またその実装用の各種攻撃ツールもある。

記事全文：
http://www.linuxsecurity.com/content/view/121124/49/

原文