リフレクション攻撃

リフレクション攻撃とは、オープンになっているサービスを利用して特定のサーバに大量のデータを送り付ける攻撃である。

概略図

+----------+ | | | 攻撃対象 | | | +-+---+-+-++ ^ ^ ^ ^ | | | | | | | +---------- | | | 2. 別のサーバ(攻撃対象)へ | | +--------------- リプライしてしまう | | +------------------------------+ | +---------------------+ | +-----------+ | セキュリティ意識の甘いサーバ | | <---------+ 1を無数のサーバへ送り付けると、 +------------------------------+ | 攻撃対象に大量のトラフィックが投げられる | (DDoS攻撃となる) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX | X 意識せずに、 X | +-----------> X 攻撃に加担してしまう可能性がある X | | X 外部からのリクエストは破棄する等 X | | +-----------> X 対策を行う必要がある X | | | XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX | | | +------------> | | | | 1. 不正なリクエスト| | | | | | | | +-+---+-+-+--+ | | | 悪意ある者 | | | +------------+

予防と対策

対策は通常のDDoS対策と変わらないが、問題は意図せずに攻撃に加担している可能性がある事である。 内部向けのNTPやDNSを、外部から参照できるような構成になっている場合は攻撃に利用されてしまう。 外部から参照できないとダメなものであっても、必要最低限の情報のみを返すように設定する事で軽減できる。

NTP設定例

  • /etc/ntp.conf の最終行に以下を追加
disable monitor
  • NTPを再起動し、チェック。
$ /etc/init.d/ntpd restart $ ntpdc -c monlist ***Server reports data not found # ↑ レスポンスがこんな感じであればOK

攻撃の手法

セキュリティ対策が甘いサーバ無数に、送信元を偽装したリクエストを送り付け、 攻撃対象にリプライを押し付けることで攻撃を行う。

リクエストよりリプライの方が送信されるバイト数が多く、最大で200倍以上のデータになることもある。 簡単に大容量の攻撃を行うことが可能な事からよく用いられる。

セキュリティ対策が甘いサーバがトラフィックを跳ね返していくように見える為、”リフレクション”の名が付いた。

なお、この手法に限らず第三者の運営するサービスを妨害した場合 刑法 第234条の2 電子計算機損壊等業務妨害罪 等の 罪に問われ処罰されます。いかなる理由があろうとも、悪用してはなりません。