Internet Watch logo
記事検索
最新ニュース

警察庁、DoS攻撃に対する防御方法の検証結果を公表


 警察庁は24日、パケットを大量に送信することでサーバーを停止状態に追い込むDoS攻撃について、防御方法の検証結果を公表した。検証によれば、サーバーやルータにDoS対策の設定を行なうことで、一定の効果が期待できるとしている。

 今回、警察庁が検証を行なったのは、SYNFlood、Connection Flood、UDPFlood、DRDoSと呼ばれる4つの攻撃への対処方法について。

 偽装したSYNパケットを大量に送信するSYNFlood攻撃については、Linuxなどに実装されているsyncookies機能を用いることで、攻撃の影響が大幅に減少することが確認できたとしている。また、ファイアウォールのSYNFlood防御機能や、ルータのQoS機能を利用する方法についても効果があるが、攻撃を受けていない場合にはスループットが低下する傾向があるため、SYNパケットが一定数以上に達した場合に制御を開始する設定が望ましいとしている。

 長時間に渡るオープン状態のコネクションを大量に発生させるConnection Flood攻撃については、サーバーのTCPコネクションキューに関する設定値の変更や、ファイアウォールで同時接続数の制限を用いることで、攻撃の影響が抑えられたとしている。Connection Flood攻撃の場合には、実際にTCPコネクションを行なわないと攻撃が成立しないため送信元の偽装は困難であり、同一IPアドレスからの接続数の制限や、IPアドレスによるフィルタリングなどで十分に対処可能だとしている。

 一方、偽装したUDPパケットを大量に送りつけるUDPFlood攻撃の場合には、送信元を特定するのが困難で、短時間に大量の攻撃をかけることも可能なため、対策は取りづらいとしている。ルータによりUDPパケットの帯域制御を行なうことで、攻撃を一定のレベルまで下げることは可能だが、根本的にはISPなどとの連携で、より上位のポイントからのトラフィック制御が望ましいとしている。

 送信元のIPアドレスを攻撃対象のサイトのものに偽装した大量のSYNパケットを多数のサーバーに送信することで、そのサーバーからの応答パケットを大量に集中させるDRDoS攻撃については、送信元を特定したアクセス制御や、帯域制御などが有効だとしている。こうした対処は通常のアクセスにも影響を与えやすいため、十分な対処方法とはならないが、攻撃パケットの特徴をつかんで対策を行なうことで、ある程度は被害を回避できるとしている。

 警察庁では検証のまとめとして、DoS攻撃は機器を適切に設定することで被害の回避が可能であり、技術を正しく理解して運用することが必要だとしている。また、実際に攻撃を受けた場合に備えて、提供しているサービスの制限や一時停止、対処を行なう手順などを事前に作成しておくといった、システムの包括的な安全対策を構築することが求められるとしている。


関連情報

URL
  ニュースリリース
  http://www.cyberpolice.go.jp/important/20040324_123312.html
  関連記事:警察庁、企業のセキュリティ対策調査を発表。DoS攻撃やなりすましが増加
  http://internet.watch.impress.co.jp/www/article/2003/0513/npa.htm


( 三柳英樹 )
2004/03/24 19:28

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.