ご存知ない方のためにご説明しますと、Arbor Networksによると、ボットネットDDoS攻撃は2008年に40ギガビット/秒を超えました。今日のボットネットの規模は、 1つのボットネットに190万ものボットが存在するという、途方もない規模に達しています。さらに、ボットネットDDoS攻撃は防御が最も困難な攻撃の一つであるという事実も相まって、まさに悪夢のような状況が生まれています。だからこそ、DDoS攻撃は、オンラインショップを人質に取って身代金を要求する恐喝犯にとって最も一般的な手段なのです。犯罪者にとってDDoS攻撃は大きなビジネスであり、儲かるのです。
よくあるシナリオはこうです。悪意のある人物がボットネット軍団を率いて、ユーザーにとって価値のあるものを飽和状態にし、サービスを停止させます。標的は、重要なサーバー1台を飽和状態にするDDoS攻撃から、インターネット接続全体を飽和状態にし、事実上すべてのインターネットサービスを停止させるまで多岐にわたります。場合によっては、悪意のある人物はまず攻撃を開始し、Webサービスを停止させてから身代金を要求することもあります。また、X日以内に支払わなければウェブサイトを閉鎖すると脅迫して、身代金を要求する場合もあります。
もちろん、これはあなたにとって目新しいことではないですよね。しかし、もしボットネットDDoS攻撃を受けた場合(あるいは再び受けた場合)、あなたやあなたの会社がどうするか考えたことがありますか? この種の攻撃に対する防御力はどの程度ありますか? 多くの企業(大小を問わず)は、「ハッカーが欲しがるようなものは何も持っていない」とか「攻撃対象が小さすぎて手間をかけるほどの価値がない」といった言い訳でこの問題に対処しています。場合によっては、これはかなり真実であることが証明されます。DDoS攻撃のリスクはセキュリティ投資に見合わないということです。しかし、多くの場合、この考え方は危険なほど間違っており、リスクは実際には認識されているよりも高いのです。悪者の視点で考えると、私は2つのうちのどちらかを求めています。お金か名声です。もしあなたがそのどちらか、あるいは両方を提供できるなら、あなたは格好の標的です。
では、早速本題に入りましょう。ボットネットDDoS攻撃にどう対抗すればいいのでしょうか?答えは、DDoS攻撃の種類、ネットワークインフラ、利用可能なセキュリティツール、その他の要因によって異なります。特定の環境におけるDDoS防御方法には多くの要因がありますが、それでも、より一般的な戦術をいくつか取り上げることは価値があると思います。ここでは、私が過去に効果があったと見てきたヒントをいくつかご紹介します。他にも、私にとっては全く新しい手法ですが、効果的な解決策になりそうなものがいくつかあります。これらの防御策は順不同ですが、効果の高い順番についてご意見がありましたら、ぜひお聞かせください。
ISPまたはDDoSサービスからのDDoS防止サービス
この防御戦術は通常、最も効果があり、もちろん(一般的に)最も高価でもあります。多くの ISP は、インターネット リンクに対して何らかの形のクラウド DDoS 保護を提供しています。これは、ISP がトラフィックをインターネット パイプに許可する前に、トラフィックをスクラブ/クリーニングするという考え方です。この防御はクラウド内で行われるため、インターネット リンクが DDoS 攻撃で飽和状態になることはありません。少なくともそれが目標です。繰り返しますが、特効薬はありません。このサービスは、サードパーティのクラウド内 DDoS 防止サービスでも提供されています。これらのサービスは、DDoS 攻撃中にトラフィックをリダイレクトすることによって機能します。トラフィックをクリーニングしてから、ユーザーに送り返します。これらはすべてクラウド内で行われるため、インターネット パイプが圧倒されることはありません。DDoS サービスを提供する ISP の例としては、AT&T の Internet Protect や Verizon Business の DoS Defense Mitigation などがあります。
ボットと戦うためのフィルタリング技術
基本的なACLフィルタ。RFC3704の前提は、パケットは有効な割り当て済みアドレス空間から送信され、トポロジと空間割り当てと整合性が取れている必要があるというものです。この目的のために、未使用または予約済みのIPアドレスのリストが用意されています。これらのIPアドレスはインターネットから送信されることはありません。もし送信元IPアドレスが見つかった場合は、間違いなく偽装されたIPアドレスなので、破棄する必要があります。このリストの名前はbogonリストです。偽のトラフィックがインターネットリンクに入り込む前に、ISPがクラウドでこのフィルタリングを管理してくれるかどうか、ISPに問い合わせてください。bogonリストは月に1回程度とかなり頻繁に変更されるため、ISPが対応してくれない場合は、独自にbogon ACLルールを管理するか、別のISPを探す必要があります。この更新はスクリプト化することも可能です。
ブラックホールフィルタリング
これは非常に効果的な一般的な手法です。通常、ISPと連携して行う必要があります。RTBHフィルタリングは、保護されたネットワークに入る前に不要なトラフィックをドロップする機能を提供する手法です。BGPホストルートを使用して、攻撃対象サーバーに向かうトラフィックをnull0ネクストホップにルーティングします。RTBHにはいくつかのバリエーションがありますが、特に注目すべきものがあります。ISPと連携してRTBHを実行すると(ISPにサポートについて確認してください。ISPはサポートしているはずです)、ISPがクラウドでトラフィックをドロップしてくれるため、パイプへのDoS攻撃を防止できます。ブロックホールフィルタリングは広範なトピックであるため、詳細を知りたい場合は、ホワイトペーパー「Remotely Triggered Black Hole Filtering (RTBH)」を読むことをお勧めします。
Cisco IPS 7.0 ソース IP レピュテーション フィルタリング
シスコは最近、IPS 7.0のコードアップグレードをリリースしました。このアップグレードには、グローバル相関と呼ばれる機能が含まれています。簡単に言うと、グローバル相関は、検知したすべての送信元IPアドレスのレピュテーションスコアをチェックします。送信元のレピュテーションが悪い場合、IPSセンサーはトラフィックをドロップするか、シグネチャヒットのリスク評価値を上げます。シスコはグローバル相関の機能について以下のように説明しています。
IPS 7.0には、長年にわたり蓄積してきた膨大なセキュリティインテリジェンスを活用する新しいセキュリティ機能「Cisco Global Correlation」が搭載されています。Cisco IPSは、Cisco SensorBase Networkから定期的に脅威アップデートを受信します。このアップデートには、連続攻撃者、ボットネットハーベスター、マルウェアのアウトブレイク、ダークネットなど、インターネット上の既知の脅威に関する詳細な情報が含まれています。IPSはこの情報を活用し、最悪の攻撃者が重要な資産を攻撃する前に、それらをフィルタリングします。そして、グローバルな脅威データをシステムに統合することで、悪意のあるアクティビティをより早期に検知・防御します。
グローバル相関を設定すると、悪意のあるアクティビティがあるネットワーク デバイスをセンサーが認識し、それらに対してアクションを実行できるようになります。
CiscoがSensorBaseを改良する方法の一つとして、導入済みのCisco 7.0 IPSセンサーからのフィードを取り込むことが挙げられます。企業はこのプログラムへの参加または不参加を選択できます。
Cisco IPSが使用するSensorBaseには、様々な脅威カテゴリが登録されており、そのうち2つはボットネットハーベスターと過去のDoS攻撃者です。そのため、ボットネットDDoS攻撃を受けた場合、Sensorは悪質なレピュテーションの送信元からのトラフィックをすべてドロップします。このプロセスはシグネチャが使用される前に実行されるため、センサーのリソース(CPU、バックプレーンなど)への負担は非常に少なくなります。そのため、DDoS攻撃時に活用するのに最適な方法です。Cisco IPSがIPSシグネチャを処理する前にSensorBaseをチェックするのも、このためです。
多くのボットネットDDoS攻撃は、WebサーバーへのSSL接続を利用しています。これにより、攻撃者は侵入経路を検査エンジンから隠蔽することができます。しかし、Global Correlationは送信元IPアドレスのレピュテーションスコアのみに基づいて攻撃を判定するため、SSL DDoS攻撃に対する防御は問題なく行えます。他のIPSベンダーはIPSソリューションにレピュテーションスコアを追加していないため、SSL DDoS攻撃を防御することはできません。一部のIPSベンダーは、SSLパケットをリアルタイムで復号化し、パケットを開いて中身を確認する機能を備えています。しかし、このプロセスはIPSのリソース(CPU、バックプレーン、メモリなど)を過度に消費するため、DDoS攻撃には利用できません。トラフィックのボトルネックがセンサー自体に移ってしまうだけです。
もちろん、DDoS攻撃によってリンクが飽和状態になっている場合は、この戦術は効果がない可能性が高いでしょう。しかし、DDoS攻撃が一部のサーバーにのみ影響を及ぼし、帯域幅全体に影響を及ぼしていない場合は、この戦術は非常に効果的です。グローバル相関は万能薬ではなく、ツールボックスの新たなツールと言えるでしょう。
セキュリティに関するその他のヒント
これはトップ5には入りませんが、言及する価値があると思いました。もう一つのヒントは、スイッチのIPソースガードを有効にすることです。これにより、ホストがボットになった場合に、偽装パケットを送信するのを防ぐことができます。
これは防御ツールというよりはむしろ一般ユーザー向けのツールですが、内部からのなりすましDDoS攻撃の抑制には役立ちます。すべての企業がIPソースガードを有効にすれば、なりすましDDoS攻撃の件数を減らすのに役立つでしょう。この機能を有効にすることのもう一つの利点は、ネットワーク上のボットネットを構成するホストを特定できることです。マルウェアがなりすまし攻撃を開始すると、スイッチポートが自動的にロックダウン(エラー無効化)され、このイベントがセキュリティ監視ステーションに報告されます。あるいは、イベントを報告し、ポートはアップ状態のまま、実際のIPアドレスからのトラフィック以外のトラフィックをすべてドロップするように設定することも可能です。
DDoS攻撃から身を守るための他の戦術をお持ちの方がいらっしゃいましたら、ぜひ共有してください。役立つリンクをいくつかご紹介します。
Verizonデータ侵害調査報告書(pdf)
Arbor Networks インフラストラクチャ セキュリティ レポート
