PR

米国でDDoS(分散型サービス妨害)攻撃に対するソリューションを提供しようという動きが活発化している。いくつかのベンチャ企業が,ISPなどに向けてDDoS対策を支援するサービスやツールを提供しようとしているのである。特徴的なのは,バックボーン・ルーターのトラフィック統計から,攻撃パケットがバックボーンに入り込んでくるポイントを自動的に絞り込んで,フィルタリングする点。少なくとも,DDoS攻撃による影響を緩和することはできる。

河井 保博=kawai@nikkeibp.co.jp)

   「現状では画期的な防御手段はない」とされるDDoS(分散型サービス妨害:Distributed Denial of Service)攻撃。その影響を最小限にしようという取り組みが目立ってきた。米アーバー・ネットワークスや米アスタ・ネットワークスなどのセキュリティ関連ベンチャが,相次いでDDoS攻撃対策製品やサービスを提供しようとしている。いずれもISP(インターネット接続事業者)向けのサービス/製品であり,バックボーン・ネットワーク上でDDoS攻撃を食い止めようという試みだ。

無垢のマシンを巻き込むDDoS攻撃

図1 DDoS攻撃の仕組み
クラッカがインターネット上の複数のマシンを不正利用し,それぞれから1つのサイトに対して一斉にDoS攻撃を仕掛けるよう指示する。1つひとつのDoS攻撃はSYN Flood,smurf,fraggleなど,既存の大量なトラフィックを発生するタイプの手法。攻撃元の追跡,特定が困難なため,効果的な防御策はないと言われる。
 DoS攻撃は,Webサイトなどがサービスを提供できない状態に追い込む攻撃のこと。サーバー側のソフトウエアのバグをつくものと,大量のパケットを集中的に送りつけるもの(フラッド型)の2種類がある。フラッド型攻撃の代表例は,TCPコネクションを確立する際に使うSYNパケット(コネクション要求パケット)を大量に送信する「SYN Flood」,ICMP(インターネット・コントロール・メッセージ・プロトコル)リクエスト(ping)をブロードキャストしてその応答をターゲット・サイトに集中させる「smurf」などがある。

 DDoS攻撃は,このフラッド型の攻撃を,同時に複数のマシンから仕掛ける。しかも何も知らないユーザーのPCを悪用する方法が増えている(図1[拡大表示])。例えばインターネットに接続する多数のマシンに,コンピュータ・ウイルスを送りつけるなどの手段で“ゾンビー”と呼ばれるエージェント・ソフトを埋め込んでおき,クラッカからの指示でエージェント・ソフトを起動して一斉に特定サイトへフラッド型DoS攻撃を実行させる。結果として,サーバーやネットワーク機器が大量のトラフィックをさばききれずにダウンしたり,ネットワークそのものがパンク状態に追い込まれたりする。

週平均4000件の攻撃が発覚

 データセンターのように,大容量のネットワークでインターネットに接続している環境では,フィルタリングを実行すれば,少なくとも顧客のサーバーやネットワーク機器は守れる。ただ,インターネット接続回線の帯域を不必要に使われてしまうことは避けられない。ISPのバックボーン・ネットワークのリソースも食いつぶされる。一般の企業のように,インターネット接続回線が数Mビット/秒にも満たない環境にいたっては,回線がパンクし,インターネットへの通信そのものが困難になってしまう可能性が高い。

 実際,この手の攻撃は99年末から頻繁に繰り返され,数多くのサイトが被害にあっている。ごく最近の例では,米国の連邦捜査局(FBI)や,米CERT(コンピュータ・エマージェンシ・レスポンス・チーム)のWebサイトが2001年5月にDDoS攻撃を受け,サービスが中断される事態に陥った。

 アスタ・ネットワークスが5月に公開した調査結果によるとインターネット上でのDDoS攻撃は世界中で頻発している。同社は,DDoS攻撃の検知システムを開発しているベンチャ企業。米国のInternet2(バックボーン・ネットワークはAbilene)などでDDoS攻撃の検出を試みている。3週間にわたってモニターしたところ,攻撃例は米国だけでなく世界中で認められた。見つかった件数たるや,3週間で1万2000件以上。週平均で4000件以上も被害が発生しているという。

画期的な防御手段はない

 ところが,DDoS攻撃にはこれという決定的な防御手段が見当たらない。クラッカはもちろん,ゾンビー・マシンの所在を突き止めることが困難だからだ。現状でWebサイト側にできることは,インターネットに接続するルーターやファイアウォール上で,DoS攻撃らしいパケットをフィルタリングする程度である。

 より根本的な解決としては,ゾンビー・マシンからのトラフィック一切を,バックボーン・ネットワークから締め出してしまうしかない。そのためには,ISPのバックボーン・ネットワーク上でのフィルタリングが必要である。例えばバックボーンのルーターで,その上を通過するICMPパケットやSYNパケットの数をカウントし,突発的にこれらのパケットが増えている場合には,対象となるパケットをブロックするように設定しておく。ルーターに入り込むデータ・パケット数を制限するCAR(コミッティド・アクセス・レート)のようなパラメータを使って,当該トラフィックを指定した帯域以下に絞り込んでもよい。

 ただ,実際のインターネット上でこうしたフィルタリングを実現するとなると,これがそう簡単にはいかない。問題は,バックボーン上のどこのルーターでDDoS攻撃を止めたら効果的かが簡単にはわからないことだ。ユーザーのシステムやネットワークだけでなく,バックボーンまで守るには,できるだけ攻撃元に近い場所でトラフィックを止める必要がある。しかし,現状では,それを調べるには,ネットワーク管理者が手作業でバックボーンの経路をルーターごとに1ホップずつさかのぼっていくしかない。結局,バックボーンでのフィルタリングは積極的には実施されていない。

ゾンビー・マシンの追跡を可能に

図2 DDoS防止サービス/ツールの動作の様子
バックボーン・ネットワーク上にDoS攻撃センサーを設置し,ルーターからトラフィック統計情報を収集する。この統計からアタックが発生しているかどうかを判断。そのトラフィックを転送してきた隣接ルーターに攻撃を受けていることを通知する。この繰り返しの結果,攻撃トラフィックがどこで発生しているかをある程度まで追跡し,直接の攻撃元により近いルーターで攻撃トラフィックをフィルタリングする。
 そこで最近,米国で活発化してきたのが,ISPなどに向けたDDoS攻撃対策の支援サービスである。例えばアーバー・ネットワークスは,2001年5月,「PeakFlow DoS」と呼ぶサービスを開始した。アスタ・ネットワークスも,アーバーと似たような仕組みを6月中にも発表する予定。どちらも,DDoS攻撃パケットの発信源,つまりゾンビー・マシンを自動的に追跡(トレースバック)する点が特徴である(図2[拡大表示])。DDoS攻撃を受けていることを自動検出してISPに通知するほか,必要があればバックボーン・ルーターのフィルタリング設定を動的に変更することも可能である。

 追跡といっても,実際のゾンビー・マシンの所在を特定できるわけではない。攻撃側のマシンがIPアドレスを偽っているケースが多いからだ。そこでアーバーなどは,問題とするトラフィックが,ISPのバックボーンに入り込んだところまでを追跡する。その結果を使い,バックボーンから見てDDoS攻撃パケットの発信源となっているルーター上でイングレス・フィルタリング(外部ネットワークから流れ込むトラフィックに対するフィルタリング)を実行すれば,バックボーンとターゲット・サイトへの攻撃を食い止められる。

 もう少し具体的に見てみよう。アーバーの場合は,ISPのバックボーン上に追跡専用のアプライアンスを設置する。このアプライアンスは,他のISPとの接続点や,データセンターとの接続点,NOC(ネットワーク・オペレーション・センター)など,重要な拠点のルーターから,トラフィックの統計情報を収集する。さらに,トラフィック・パターンからフラッド型の攻撃が発生していないかを分析,判断する。例えばSYNパケットが突発的に増えたのを見つけるとDDoS攻撃を疑う。DDoS攻撃を見つけた場合は,そのパターンや送信元IPアドレス,ターゲット・サイトのIPアドレスなどの詳細を記録し,他のルーターでの統計情報と照らし合わせる。こうすることで,DDoS攻撃が他のISPへの接続部分から来ているのか,自社バックボーン上で発生しているのか,などを判断できる。最終的には,自社バックボーンから見てDDoS攻撃パケットの発信源となるルーターを割り出し,そこでフィルタリングを実行する。

 アスタが提供するソリューションも同様である。バックボーン上にDDoS攻撃のセンサーとなるアプライアンスを設置。これらの情報を,コーディネータと呼ぶサーバーが吸い上げて攻撃元を探し,解決策を判断する。

 ISP各社がこうしたサービスやツールを利用すれば,少なくとも,DDoS攻撃の脅威は緩和されそうである。ただし,これらのサービス/製品は,主にフラッド型のDoS攻撃に対処するためのソリューション。アプリケーションのバグをついた攻撃に対しては,ファイアウォールやIDS(不正侵入検知システム)を使って,攻撃を食い止める必要がある。