DDoS とコンテンツ・フィルタリング・デバイス:反射パターンの調整で 6,533% の増幅率

Content filtering devices abused for 65x DDoS amplification

2022/03/01 BleepingComputer — DDoS の新たな攻撃パターンには、パケット検査やコンテンツ・フィルタリングなどのデバイスを標的とし、増幅率 6,533% を達成するという驚くべき傾向があることが、研究者たちにより確認された。このような増幅レベルを前提とすると、脅威アクターたちは限られた帯域幅や設備を用いても、壊滅的な攻撃を仕掛けることが可能となる。

DDoS 攻撃は、サーバーやルーターなどのネットワーク機器を、大量の不正なリクエストや大量のゴミデータで圧倒し、企業のサーバーやネットワークをダウンさせるために使用される。

それらのデバイスが圧倒されると、正当なトラフィックの受け入れが困難となり、正常に動作しなくなる。DDoS 攻撃は、データを永久に破壊したり、ネットワークを破壊したりするわけではないが、長時間のダウンタイムやサービスの停止などにより、大きな経済的損害を与える可能性がある。

このように強力な脅威であるため、インターネット・セキュリティ・サービス・プロバイダーは、高度な検知/緩和ソリューションを開発してきたが、DDoS 攻撃者は新たな手口や異なるアプローチにより、それらに対抗している。

新しい DDoS のアプローチ

この猫とネズミのゲームの中で、Akamai は TCP Middlebox Reflection と呼ばれる新しい DDoS 攻撃手法が、野放しになっているのを確認しており、2021年8月にアメリカの大学研究チームが初めて検証した。

Middlebox とは、2つのインターネット・デバイス間でやり取りされるパケット・ストリームを、監視/フィルタリング/変換することで、パケット検査やコンテンツ・フィルタリングを行うネットワーク・デバイスのことを指す。また、Middlebox は、パケット・ヘッダだけでなく、パケットのコンテンツも扱うため、Deep Packet Inspection (DPI) システムにも採用されている。

ココで言う攻撃パターンとは、Middlebox の脆弱なファイアウォールやコンテンツ・フィルタリング・ポリシー実施システムを悪用し、特別に細工した TCP パケット・シーケンスを使って、デバイスに大量のレスポンスを吐き出させるというものだ。

Akamai のアナリストは、33 Byte のペイロードを持つ、実際の SYN パケットが 2,156 Byte のレスポンスを引き起こし、65 倍の増幅率を達成したことを確認している。

Akamai のレポートは、「この TCP リフレクションの悪用に対して脆弱な Middlebox システムは、世界中に何十万と存在すると研究者は指摘している。彼らのテストでは、一般的あり悪用の頻度の高い、UDP リフレクション・ベクターを凌ぐ増幅率が発見された。実際に発見された脆弱なシステムの中には、NTP/RIPv1/memcached のような、最も攻撃的な UDP ベクターよりも高い増幅率を示しているものもある」と説明している。

この攻撃パターンでは、リフレクションのたびに新しい増幅ステップが追加されるため、レスポンスのサイズは直ぐに手に負えないものとなり、すでに確立されている UDP ベクターさえも上回る威力を発揮する。

Responses triggered from a vulnerable middlebox
Responses triggered from a vulnerable middlebox (Akamai)


Akamai は、「このボリュームのある攻撃は、今やリソースを使い果たす攻撃になっている。TCP アプリケーション/サービスに向けられた、これらの SYN パケットは、そのアプリケーションに複数の SYN+ACK パケットによる応答を試みさせ、TCP セッションを開いた状態で、3ウェイハンドシェイクの残りを待たせることになる。各 TCP セッションが、このように半開きの状態で保持されると、システムはソケットを消費し、その結果として、リソースが消費され、完全にリソースを使い果たす可能性がある」と、TCP サービスが稼働しているポートへの攻撃について説明している。

紙面から現実へ

Akamai は、銀行/旅行/ゲーム/メディや、Web ホスティング・サービス・プロバイダーを標的としたキャンペーンにおいて、TCP Middlebox Reflection 攻撃を実際に観測している。現時点では攻撃は小規模であり、最も大規模なものは 11 Gbps (1.5 Mpps) に達しているが、脅威アクターが、このテクノロジーを微調整し、最適な反射パターンを見つけるのは時間の問題だと、脅威アナリストたちは見ている。この増加傾向に対応するため、Akamai は以下のような軽減策を提案している。

  • 長さが 0 Byte を超える全ての SYN フラッドを疑わしいものとして処理する。
  • SYN チャレンジを導入してハンドシェイクを妨害し、アプリケーションやサーバーに到達する前に悪質なデータ・フローをドロップする。
  • アンチス・プーフィングとアウトオブ・ステートのミティゲーション・モジュールを組み合わせて使用する。
  • ファイアウォールの ACL (ルール) を追加して、長さが 100 を超える SYN パケットをドロップする。

2021年8月に、「ファイアウォールやミドルボックスは DDoS の最終ウェポン?」という記事をポストしていますが、基本的に同じテクノロジーのようです。これを、Akamai が検証し、さらに研究を深化させているようです。なお、最近の DDoS 関連のポストとしては、1月26日の「DDoS 防御/軽減マーケット:2021年の $3.3 B から 2026年の $6.7 B へと成長」や、1月27日の「Microsoft が耐えた 3.47 Tbps の DDoS 攻撃:更新され続ける史上最大規模」などは、とても興味深いです。よろしければ、カテゴリ DDoS も、ご参照ください。

%d bloggers like this: