ファイアウォールやミドルボックスは DDoS の最終ウェポン?

Attackers Can Weaponize Firewalls and Middleboxes for Amplified DDoS Attacks

2021/08/16 TheHackerNews — ミドルボックスや検閲インフラにおける TCP プロトコルの実装上の弱点は、反射型サービス拒否 (DoS) 攻撃を行うベクトルとして武器になることであり、しかも、これまでの UDP ベースの増幅要因を上回る可能性をもたらすことだ。メリーランド大学とコロラド大学ボルダー校の研究者グループが、USENIX Security Symposium で発表した Volumetric 攻撃は、ファイアウォールや、侵入防止システム、DPI (Deep Packet Inspection) ボックスなどの、TCP 非準拠ネットワーク・ミドルボックスを用いてトラフィックを増幅するものであり、数十万の IP アドレスで DNS / NTP / Memcached を上回る増幅率を実現する。

反射型増幅攻撃は、DoS 攻撃の一種である。敵対者は UDP プロトコルのコネクションレスの性質を悪用することで、誤って設定されたオープン・サーバーへの偽装リクエストを行い、標的となるサーバーやネットワークをパケットの洪水で圧倒し、サーバーなどのインフラを混乱させ、アクセス不能に至らしめる。

一般的には、脆弱なサービスからのレスポンスが、偽装されたリクエストよりも大きい場合に、DoS 攻撃は発生する。このような性質を利用して、偽装リクエストを何千回も送信し、ターゲットが発行するサイズと帯域幅を大幅に増幅していく。これまで、DoS 増幅攻撃は UDP を利用して行われてきた。その理由は、IP ベースのネットワーク上で TCP/IP 接続を確立するときに、TCP の 3-Way ハンドシェイク (SYN / SYN+ACK / ACK) が複雑に絡み合う点にある。研究者たちは、多数のネットワーク・ミドルボックスが TCP 標準に準拠しておらず、有効な TCP 接続やハンドシェイクがない場合でも、偽装された検閲要求に対して大きなブロックページで応答する可能性が生じるため、それらの機器が DoS 増幅攻撃の魅力的なターゲットになっていることを発見した。

研究者たちは、「ミドルボックスは、多くのケースで TCP に準拠していない。ミドルボックスの多くは、非対称ルーティングを扱おうとするため、ミドルボックスは接続中のパケットの一方向しか見ることができない (例:クライアントからサーバー) 。ミドルボックスが接続の片側だけに基づいてコンテンツを注入すると、攻撃者は TCP の 3-Way ハンドシェイクの片側を偽装し、ミドルボックスに有効な接続があると信じ込ませることができる」と述べている。さらに、一連の実験により、これらの増幅されたレスポンスは、主に国家の検閲デバイスや企業のファイアウォールなどの、ミドルボックスからのものであることが分かった。政府が国境内の情報へのアクセスを抑制する上で、そのようなインフラストラクチャが果たす役割が浮き彫りになったが、攻撃者がネットワーク・デバイスを武器にして誰かを攻撃することも可能になる。

研究者たちは、「国家レベルの検閲インフラは、高速な ISP に設置されており、極めて高い帯域幅でデータを送信/注入することが可能だ。しががって攻撃者は、増幅器の飽和を心配することなく、大量のトラフィックを増幅できる。さらに、増幅攻撃のきっかけとなる送信元 IP アドレスの数が膨大であるため、被害者による一握りのリフレクターのブロックという対策が困難になる。国家による検閲は、その国のすべてのルーティング可能な IP アドレスを、潜在的な増幅器に変えることになる。ミドルボックスは、攻撃者が強力な DoS 攻撃を仕掛けるために悪用できる、予想外の、まだ利用されていない脅威をもたらす。このような脅威からインターネットを守るためには、多くのミドルボックス・メーカーとオペレーターが協力して取り組む必要がある」と述べている

怖い話ですが、これがきっかけとなり、国家によるインターネットの検閲が困難になるなら、とても困る国がありそうですね。最近の DDoS 関連の話題としては、「2021年 Q1 の DDoS 攻撃は前年比較で 31% 増」や、「TsuNAME 脆弱性は権威 DNS サーバーをダウンさせ DoS 攻撃を生み出す」などがあります。また、「RaaS (Ransomware-as-a-Service) のエコシステムを解析する」では、サービスの一部として DDoS もあり得ると述べられていました。

%d bloggers like this: