DDoS攻撃 概要
複数の端末から標的のシステムに対して大量の通信を発生させることでサービス停止に追い込む攻撃手口
DDoS攻撃とは、複数のPCやサーバ、IoTデバイスなどから標的サーバに対して一斉に大量のパケットを送付する攻撃です。
この大量の通信によって、標的のシステムは提供するサービスの処理が追いつかず、機能停止に追い込まれてしまいます。
近年ではDNSサーバのキャッシュ機能を悪用したDNSリフレクター攻撃など、様々な種類のDDoS攻撃が報告されている。
DDoS攻撃 背景と事例
1999年8月に発生したものが初めての大規模なDDoS攻撃で、標的はミネソタ大学でした。
これは、「Trinoo」という攻撃ツールを利用した攻撃であることが分かっています。
攻撃者がマスターに対して命令すると、数百のデーモンが標的サーバに対して攻撃を行うという仕組みのものです。
現代のDDoS攻撃の基礎を築いたようです。
現在DDoS攻撃は、愉快犯や脅迫といった犯罪行為、社会的・政治的な主張を目的としたハクティビズムなど様々な目的で利用されています。
ハニーポット 概要
ハニーポットは、攻撃者を誘い込み、行動や目的などを観測するためのシステムです。
研究目的で利用されていたことが多かったことっもあってか、ハニーポットには多くの種類があります。
サーバ型とクライアント型が存在し、主に下記の4種があります。
- 高対話型ハニーポット
脆弱性を残した本物のOSやアプリケーションを利用し、攻撃を観測するタイプ
精度の高い情報を得ることができる反面、本当に攻撃の踏み台になってしまうこともある
- 低対話型ハニーポット
OSやアプリケーションをエミュレートして攻撃を観測
収集できる情報は限定的ではあるが、概ね攻撃の全容を把握することができる
- 仮想ハニーポット
仮想環境上でハニーポットを構成するもの
環境の回復も比較的容易であるため、広く使われている
仮想環境特有の情報を攻撃者が知ることで、ハニーポットであることがバレてしまう可能性を念頭に置いておく必要がある
- 分散型ハニーポット
複数のハニーポットを運用する際に、データを集中的に分析するためのシステム
ハニーポット 背景と事例
l998年に公開されたDTKがハニーポットの最初と言われています。
システム上で様々なサービスをシミュレーションすることができ、異なるホストとして見せかけることができるものです。
2000年にワームが大流行したことで、マルウェアの捕獲の意味でハニーポットの有効性が認められました。
現在は、ドライブ・バイ・ダウンロードによる攻撃が多いことから、クライアント型のハニーポットも重要な調査ツールとして認識されています。
攻撃者の具体的な行動を知るために、特定の企業内ネットワークを再現したハニーネットが用いられる場合もあります。