2018/03/02

GitHub が過去最大の DDoS を切り抜ける

ハッカー サイバー 攻撃 Haker Cyber Attack
2018 年 3 月 2 日 Tanner Harrison 著

GitHub が水曜日に、約 1.3Tbps(テラビット/秒)のトラフィックのこれまでで最大規模の DDoS 攻撃を乗り切りました。それまでの最大規模の攻撃は、2016 年に発生した Mirai ボットネットによる DYN DNS に対する 1.2Tbps の DDoS 攻撃で、サイトがダウンしただけでなく、多くのインターネット利用者が影響を受けました。

これらの攻撃に関連性はあるのか?まったく異なるボットネット攻撃だったのか?

攻撃の 1 日前に Akamai(インテリジェント DDoS/クラウド緩和サービス)が、memcached と呼ばれるネットワークツールを使った新しい DDoS 反射(リフレクション)攻撃ベクトルを発見しました。反射攻撃では、サービスを攻撃してそれをホスティングしているサーバからの UDP トラフィックを偽装することで、疑いを持たないユーザに強制的にデータを送信します。増幅攻撃は反射攻撃の発展型であり、攻撃者が UDP サービスを起動し、攻撃者が小さいパケットを送信するだけで大量のデータがユーザに送信されます。今回の反射攻撃は、memcached を使用してパケットサイズを増幅することで、標的サイトに大量のデータを送信するというものでした。この攻撃は、DNS、TFTP、LDAP、SNMP、BitTorrent などの他の既知の DDoS 攻撃や増幅攻撃と似ていますが、memcached を利用することで増幅能力が強化されている点が大きく異なります。

一般的な DNS ベースの増幅攻撃での増幅率が100 倍程度であるのに対し、memcache サーバからの反射では 50,000 倍を超える可能性もあります。Akamai はブログ記事で、今回の攻撃について次のように説明し、正確な増幅率を判断するのは困難であるとしています。

「システムが memcached get 要求を受け取ると、メモリから要求された値を収集し、中断ないストリームで、回線経由でそれらを送信することで、応答が作成されます。そして、この応答が、最大 1,400 バイトの長さの複数の UDP パケットで標的に送信されます。memcached の正確な増幅率を判断するのは困難ですが、Akamai は今回の攻撃で、リフレクタあたり約 1Gbps が生成されているのを確認しました。memcached を使用した、500Gbps を超える反射攻撃が報告されている例もあります。」

どのようにこれを防ぐことができるのか?

このような攻撃を防ぐ最良かつ最も簡単な方法は、リフレクタとなるもの(DNS、MemCache、TFTP など)がインターネットに公開されないようにすることです。システム管理者の皆さんに対し、インターネットに公開されているサーバで memcache プロトコルを無効にすること、あるいは、少なくとも UDP ポート 11211 をブロックすることを強くお勧めします。

GitHub に対する今回の攻撃は、以前の memcache プロトコルを使った攻撃や Mirai ボットネットからもわかるように、大量のデータを送りつける攻撃に備える必要があることを示しています。IT 管理者は、これらのリスクを十分に考慮して、対策を計画する必要があります。

DDoS の防止と緩和:

  1. オンプレミスのファイアウォールやコンテンツフィルタの活用
  2. 専用の機器/ロードバランサ
  3. ISP の緩和策
  4. サードパーティの緩和策

1. ウォッチガードのファイアウォールでは、デバイスでのデフォルトのパケット処理により、送信者の IP アドレスをブロックすることができます。Firebox には、クライアントとサーバの両方にデフォルトのしきい値が設定されており、送信先 IP アドレスのしきい値に達すると、ホストからの接続要求を Firebox がドロップします。

サーバがリフレクタになるのを防ぐため、ポート 11211 をブロックすることをお勧めします。

2. ISP 接続にロードバラニングソリューションを実装することで、トラフィックがラウンドロビンやオーバーフローのシナリオで処理されるようにできます。何らかの装置を利用してネットワーク境界でロードを処理している場合が多いと思いますが、これらのデバイスが増幅攻撃などの大量のトラフィックを送りつける攻撃の対策にはならない点に注意する必要があり、おそれくは、これがネットワークでボトルネックとなるでしょう。

一般的には 3 と 4 を組み合わせて利用することになりますが、これは、大規模攻撃の対策では、ISP とサードパーティのクラウド緩和サービスを調整し、利用する必要があるためです。ウォッチガードの Corey が Secplicity の記事で、このソリューションについて次のように説明しています。

「クラウドやハイブリッドの DDoS ソリューションは、攻撃の多くを上流で処理し、大規模分散ネットワークによって一定の負荷を分散し、トラフィックの多くを侵入前にブロックします。」

クラウドやハイブリッドの DDoS ソリューションのインフラストラクチャ、帯域幅、リソースの活用が、今回のような大規模攻撃を緩和する鍵となるでしょう。– Tanner Harrison

Amazon をかたるフィッシングにご注意ください (2018/12/13)