警察庁は25日、2004年7月から9月にかけて発生した「SYN flood攻撃」についての分析レポートを発表した。全国警察組織のファイアウォールを利用した「SYN flood被害観測システム」で検知した攻撃をまとめたもので、中国へのSYN flood攻撃が73,474件で最多、続いて米国が2,267件で2位となっている。
警察庁では、2004年7月から試験観測を開始したSYN flood被害観測システムを10月25日から正式に稼動する。さらにSYN flood攻撃のほか、UDP flood攻撃にも対応するようシステムを拡張中で、新たな情報が判明次第レポートを発表するとしている。
SYN flood攻撃とは、TCPの接続手順「3ウェイ・ハンドシェーク」を悪用したもの。通常TCPによる接続時には、クライアントPCがサーバーに対して接続開始要求(SYNパケット)を送信し、サーバーから送り返されるSYN/ACKパケットを受信。クライアントPCは、再度サーバーにACKパケットを送信して通信を開始する。
SYN flood攻撃では、クライアントPCがIPアドレスを詐称したSYNパケットをサーバーに送信し、サーバーも詐称されたアドレスに対してSYN/ACKパケットを送信。そのため、本来クライアントPCから送信されるはずのACKパケットがサーバーに送信されず、サーバー側ではACKパケットの待ち受けが大量に発生し、正常なアクセスを受け入れられなくなったり、システムクラッシュを引き起こすなどの障害を発生する。
警察庁ではSYN flood攻撃を検知するため、攻撃を受けたサーバー側が詐称されたIPアドレスに返信するSYN/ACKパケット(以下、跳ね返りパケット)を監視。跳ね返りパケットを監視することによって、攻撃されているサーバーのIPアドレスなどの情報を獲得し、SYN flood攻撃を検知しようという試みだ。攻撃するPCのIPアドレスは詐称されるため、攻撃した者のIPアドレスはわからないという。
分析の結果、ポート別ではWebサーバーに利用されるTCP 80番ポートが64,603件で最多。続いてTCP 7000番ポート(4,385件)、TCP 21番ポート(1,953件)、TCP 3389番ポート(1,802件)となる。国別では中国からの跳ね返りパケットが73,474件で最多、続いて米国が2,267件で2位。警察庁では「この2国からのパケットは定常的に検知しており、両国に対するSYN flood攻撃が常態化している」という。
なお、中国からの跳ね返りパケットについては、実際にサーバーとして運用されているかどうかわからないホストからのパケットも多いという。9月9日には中国の特定のIPアドレスを発信元ととし、TCP 80番ポート、TCP 21番ポート、TCP 3389番ポートへのパケットを検知。警察庁では「TCP 3389番ポートはWindowsのリモートデスクトッププロトコルで使用されており、Windowsサーバーの脆弱性を狙うなど何らかの攻撃が行なわれた可能性がある」としている。
また、米国からの跳ね返りパケットではオンライン賭博サイトからのものが多く、「企業恐喝にSYM flood攻撃が用いられている可能性が高い」と分析。さらに、7月13日、7月30日、9月10日に米国のサーバーからSYN flood攻撃だと推測される跳ね返りパケットを検知したとしている。
関連情報
■URL
SYN flood攻撃被害観測システムについて(PDF)
http://www.cyberpolice.go.jp/detect/pdf/synflood_detect.pdf
■関連記事
・ 警察庁、DoS攻撃に対する防御方法の検証結果を公表(2004/03/24)
( 鷹木 創 )
2004/10/25 18:03
- ページの先頭へ-
|