あなたの知らないとっても恐ろしいDDoSサイバー攻撃

あなたの知らない、とっても恐ろしい
DDoSサイバー攻撃
日本ラドウェア株式会社
シニアコンサルタント
井谷晃

©2014 Radware Ltd. All rights reserved.
2
アジェンダ
•  会社紹介
•  サイバー攻撃の現状
•  Radware セキュリティレポートから見る
2013年DDoS攻撃トレンド
•  DefenseProが選ばれる理由

4
Radware とは？
会社名：Radware Ltd.
本社所在地：テルアビブ/イスラエル
会社設⽴立立:1997年年（NSADAQ上場:1999年年9⽉月）
従業員:750名超（内R&Dが330名）
世界40カ国で販売を展開
⽇日本法⼈人：⽇日本ラドウェア株式会社
所在地：東京都⽬目⿊黒区下⽬目⿊黒
設⽴立立：2000年年6⽉月

Radware プロダクト
回線負荷分散
LinkProof
DDoS&IPS
DefensePro
セキュリティ
Internet
ADC
Alteon
負荷分散
WAF（WebApplication Firewall）
AppWall
5

DDoS対策ツールシェア
日本
ラドウェ
アA社
その他
2012年 DDoS対策ツール
マーケットシェア（金額）
富士キメラ総研：2013ネットワークセキュリティビジネス調査総覧＜上巻：市場編＞
ベンダー名比率
日本ラドウェア 50.9%
A社 27.3%
その他 21.8%
DDoS対策ツール
国内シェアNo.1
DefensePro
6

8
サイバー攻撃のトレンド
- 標的型攻撃
- 不正アクセス
- Web改ざん etc.
サイバー攻撃のトレンドとDDoS
これらの対策をすれば、DDoS攻撃も防御可能？
そもそも、DDoSって何？

「DDoS(Distributed Denial of Service)攻撃」
分散型サービス拒否攻撃
「DoS(Denial of Service)攻撃」サービス拒否攻撃
DDoS攻撃とは？
数百、数千のホストがDoS攻撃を行う攻撃（攻撃手法は、DoS攻撃と同じ）
攻撃ホストは、ウィルスに感染した一般ユーザーのPCであることが多い
Webサーバなど
DoS攻撃
DDoS攻撃
数台のホストから攻撃対象のサーバなどに、大量のパケットを送りつける攻撃
これにより、回線やサーバのリソースを枯渇させ、一時的にサービスをダウンさ
せる
9

10
DDoS攻撃の特徴（SYNフラッド攻撃）
インターネット
ボットに感染したホスト
攻撃者
(ハッカー)
ボット・コマンド
C&C サーバ
（コマンド＆コントロール）
通信開始(TCP SYN)
正規ユーザー
パケットだけでは、正規ユーザーとの区別が困難
攻撃ホストを絞れない
（不特定多数）
攻撃対象となる
Webサーバ

•  DDoS攻撃情報
- アノニマス IRC
•  無償の攻撃ツール（LOIC、HOIC）
- スマートフォン版
- 日本語の解説サイト
•  ブラックマーケット
- BOTレンタル
- 攻撃用サーバ提供
11
DDoS攻撃の実態
誰でもすぐ、DDoS攻撃が可能

12
DDoS攻撃の流行
DDoS攻撃は、日本ではあまり話題に上がらない
では、対策はしなくても大丈夫なのだろうか？
今日は、皆様それぞれの回答をお持ち帰りください
・海外では流行している
特にアメリカでは、毎日どこかの企業・団体がDDoS攻撃を受けている
・今後も日本では流行らないと言い切れるか？
アメリカを攻撃している国と、日本は友好的だろうか？
・費用対効果の面で、DDoS攻撃対策は、本当に見合わないのか？
攻撃を受けてからの対策で間に合うのか？

Radware セキュリティレポートから見る
2013年DDoS攻撃トレンド

14
セキュリティスペシャリストチーム：ERT
•  24時間体制による被攻撃中のお客様サポート
•  脅威となる攻撃の告知
•  既知の攻撃ツールの調査
•  シグネチャのリリース(週次、即時）
ラドウェア緊急対応チーム
Emergency Response Team

15
グローバル・セキュリティレポート（2013
年）
グローバルアプリケーション&ネットワークセキュリティレポート(2013年)
http://www.radware.co.jp/product/dp/whitepapers/Radware_2013_ERT_Report_Ja.pdf
日本語版、本日先行公開
Facebook 日本ラドウェア
・ERT：実際に対応した約300件のインシデント分析
・業界調査：198団体(顧客・非顧客)

16
サイバー攻撃のトレンド
DDoS
28%
SQLインジェ
クション
23%
Web改ざん
17%
不正アクセス
11%
標的型攻撃
7%
DNSハイジャッ
ク3%
マルウェア
3%
iFrame イン
ジェクション
1%
その他
7%
Source: 2013 Cyber Attacks Trends, Hackmagedon
もっとも利用されるサイバー攻撃：DDoS

17
主なDDoS攻撃(2013年)
Feb/July 2013
アメリカ
Operation Ababil
Targeting financial institutions
July 2013
コロンビア
The Colombian
Independence Day Attack
March 2013
オランダ
Spamhaus
The biggest DDoS attack ever
August 2013
シリア
Syrian Electronic Army
attacking US media outlets
November 2013
ウクライナ&バルト諸国
Operation “Opindependence”
June 2013
韓国
South Korea governement
websites under attacks

18
攻撃継続期間
攻撃期間
単位 %（件数の割合）
我慢していれば、過ぎていく時代は終わった
1週間以上継続したDDoS攻撃が年々増加している

19
2013年、アプリケーション型の攻撃の比率が大幅に増加
単純なネットワーク型DDoS攻撃から、
複雑なアプリケーション型DDoS攻撃へ、トレンドが変化
攻撃手法の多様化

20
攻撃手法の割合（2013年）
単純なDDoS対策だけでは防御できない

21
HTTPページ・フラッド攻撃
（アプリケーション型攻撃）
Webサーバ
攻撃ホスト
GET /search.php HTTP/1.0
大量にHTTPリクエストを送りつけ、Webサーバをダウンさせる
攻撃ホスト
攻撃ホスト
攻撃ホスト

スローレート攻撃
適切なトラフィック量で、ゆっくりと繰り返し送るだけで、
Webサーバのリソースを枯渇させる攻撃
攻撃ツール：Slowloris、RUDY etc.
RUDY
content-lengthヘッダに大きな値を設定したPOSTリクエストを
繰り返し送信し、Webサーバのセッションを浪費させます
攻撃ホスト
Webサーバ
1Byte(HTTP POST)
1Byte(HTTP POST)
1Byte(HTTP POST)
22

23
大量にDNS問い合わせを送りつけ、DNSサーバをダウン
させる
攻撃ホスト
攻撃ホスト
DNS問い合わせ（UDP）
攻撃ホスト
攻撃ホスト
DNSフラッド攻撃
DNSサーバ

DNS amp攻撃（アプリケーション型攻撃）
攻撃対象サーバ攻撃ホスト
正規のDNSサーバを踏み台にして、攻撃対象サーバに
DNS応答を送りつける
サーバダウンより、回線圧迫が目的
DNS応答パケットは、問い合わせより、サイズが大きいので、
直接攻撃するより効率的
正規のDNSサーバ（踏み台）
DNS問い合わせ
送信元（偽装）
回線圧迫
DNS問い合わせ
DNS問い合わせ
DNS応答
DNS応答
24
攻撃ホスト
攻撃ホスト

25
攻撃手法の数
多種多様な対策をしなければ、DDoSから守りきれ
ない
単位 %
（件数の割合）
攻撃手法の数 / 攻撃
DDoS攻撃の50%以上が、5つ以上の攻撃手法を使っている

July 12, 2012
“Innocence of Muslims”
trailer released on YouTube
September 11, 2012
World-wide protest against the movie resulting
in the deaths of 50 people
September 18, 2012
Operation Ababil begins
実際の攻撃事例 (Operation Ababil)
米金融機関へのDDoS攻撃
ある反イスラム映画への批判が発端
26

27
米金融機関へのDDoS攻撃
ある反イスラム映画への批判が発端

28
フェーズ4(2013年7月) による攻撃の内容
–  ネットワーク型のDDoS攻撃
•  TCPフラッドおよびUDPフラッド攻撃
•  異常に大きなUDPパケットによる
帯域消費攻撃（25Gbps）
–  アプリケーション型のDDoS攻撃
•  HTTPフラッド攻撃 (GETやPUT)
•  DNS amp攻撃
•  HTTPSによるフラッド攻撃(GET)
15倍のCPU消費
http://security.radware.com

CDNはDDoS対策か？
コンテンツデリバリー・ネットワーク(CDN)は、
DoS/DDoSを対策ソリューションであると考えますか？
CDNを使用している企業の70%が、
CDNはDoS/DDoS対策ソリューションであると考えています。
はい
いいえ
30%
70%
29

イスラエル・サイバー攻撃事例
•  2012年1月、イスラエルとパレスチナの紛争を動機とするDDoS攻撃が、
イスラエル証券取引所や航空会社EL AL、複数の金融機関をターゲットに実施される。
•  今回、明らかになった点は、CDNが防御の役に立たなかった点。
–  攻撃対象URLに動的コンテンツを選択
–  Cookieをセットするなど、様々な方法でCDNによるキャッシュを回避するパターンを実装。
教訓
CDNによるDDoS防御が効果を発揮できないケースがある
30

CDNが防御の役に立たなかった理由
CDN Edge
Client オリジナル
サーバ
–  Cacheに存在しないコンテンツ（動的コンテンツ等）は、必ずオリジナル
サーバにアクセスする。
–  本来、大規模トラフィックを効率的に裁くためのCDNが、攻撃増幅装置に
なる。
31

32
DDoS攻撃によって発生する被害
DDoS攻撃を受けた際には、下記箇所で被害が発生
インターネット回線、Firewallで被害が発生しているケースが
全体の半数に上る
21%
7%12%
7%
22%31%
Firewallの手前でDDoS対策を行うことが重
要

33
攻撃タイプ別対応マトリックス

製品
攻撃タイプ
DDoS対策機器 FW/UTM LB IPS
SYNフラッド攻撃 ○
▲
○
▲
コネクションフラッド攻撃 ○
▲
○
▲
UDPフラッド攻撃 ○
▲
×
▲
DNSフラッド攻撃 ○
×
×
×
HTTPフラッド攻撃 ○
×
×
×
スローレート攻撃 ○
×
×
×
SSL-DDoS攻撃 ○
×
×
▲
複数の手法で攻撃するDDoS攻撃から、システムを守るには、
すべての手法に対応する必要あり

DefenseProが選ばれる理由

35
DDoS攻撃対策を考える皆様へ
•  高い検知精度を保つのはセキュリティ管理者ですか?
–  アタックの都度、閾値のチューニングを行うオペレーション
–  正規通信の急増に伴う誤検知
•  商用環境で、本当に防御出来る処理能力を有していますか?
–  ハイボリュームなアタック発生時にも性能を担保するアーキテクチャを有
していますか?
•  非常に高度なアタックへの対応は可能ですか?
–  アプリケーションレイヤへのアタックに対応出来ますか?
HTTPS/DNSへのアタック等
DefenseProは、すべてを解決しま
す

■振る舞い検知機能（特許技術）
下記2つの技術を組み合わせた検知機能
36
高い検知精度：振る舞い検知
・割合分析
プロトコル毎のパケット比率分析。
TCP全体(SYN,ACK,FIN等)からのSYNパケットの比率等を分析
レート分析だけでは、ある数日だけ、通信量が多くなる場合に、誤検知を招く
（新製品の告知等）
閾値ベースの対策では、毎日通信量は一定ではないので、誤検知を招く
・レート分析
1週間等のサイクルで、正常通信を学習

37
高い検知精度：振る舞い検知
パケットの
レートが異
常値を示す
攻撃エリ
ア
疑わしいエ
リア
正常エリ
ア
攻撃度合い
レート分析
プロトコル/フラグ
の相対割合の分布状
況にはベースライン
からの乖離は見られ
ない
・レート分析と、割合分析の両方から判断し、攻撃を検出
・攻撃度合いのスコアが攻撃とみなされる値を超えると、システムは防御フェーズ
に移行
攻撃度合い = 5
(正常)

38
処理能力：専用ハードウェア
マルチギガ
キャパシティ
正常
トラフィック
アタック
トラフィック
25 Million
PPS
Other DoS Mitigation Solutions
マルチギガ
キャパシティ
正常
トラフィック
アタック
アタック
アタック
トラフィック
DefensePro(ODS HTQ)
正規トラフィックの
処理に悪影響
正規トラフィックの
処理には影響なし
DDoS攻撃を専用ハードウェア(ASIC)で処理することで、高い処理能力を実現

39
様々な攻撃に対する防御機能を複数エンジンで分散して、
処理することにより、高パフォーマンスで高精度の攻撃対策を実現
処理能力：マルチレイヤー防御機能
DME
DDoS用ASIC
SME
シグネチャ
用ASIC
マルチコアCPU
振る舞い検知
ネットワークベース
防御
ネットワーク
&DoS/DDoS
フラッド攻撃
サーバーベース
攻撃
マルウェア
感染
不正侵入
アクセス
クリーン環境
アプリケーションベース
防御
ユーザーベース
防御
シグネチャベース
防御

高度なアタックへの対応:HTTP
HTTPフラッドに特化した防御機能
レート分析に加え、確率分析に基づき、
期待値以上の割合で要求されているURL を検出し、異常なユーザーを特定
HTTPリクエスト数のURLサイズ毎の分布
40

41
高度なアタックへの対応:DNS
DNSフラッドに特化した防御機能
レート分析に加え、DNS各レコードの割合を分析し、異常なユーザーを特定
DNSの各レコードの分布
AAAA
TEXT
IPv6
A
Query
A

42
高度なアタックへの対応：HTTPS
HTTPSアタックへの対応
SSLトラフィックを復号化し、DDoS攻撃の検査を行う
Alteon(SSL処理)との連携により、CPU に一切負荷を与えない
Client
Alteon（SSL処理）
HTTPSサーバ
DefensePro

•  高い検知精度を保つのはセキュリティ管理者ですか?
–  アタックの都度、閾値のチューニングを行うオペレーション
–  正規通信の急増に伴う誤検知
•  商用環境で、本当に防御出来る処理能力を有していますか?
–  ハイボリュームなアタック発生時にも性能を担保するアーキテクチャを有
していますか?
•  非常に高度なアタックへの対応は可能ですか?
–  アプリケーションレイヤへのアタックに対応出来ますか?
HTTPS/DNSへのアタック等
DefenseProの優位性サマリ
自動でトラフィックを学習、自動でアタックを検知・ブロック
→チューニング不要、セキュリティ管理者の負荷低減(OPEXの削減)
自動トラフィック学習に加え、パケット種別まで分析
→高い検知精度、ブロック精度を実現
専用のHW ASIC(DME, SME)
→アタック発生時にも高い処理能力を実現
Alteonとの連携によるSSL処理
→HTTPSアタックに対応
HTTP, DNSフラッドに特化した振る舞い検知型防御
→高度なアタックにも高い検知精度、ブロック精度を実現
43

ご清聴ありがとうございました
https://www.facebook.com/nihonradware
https://twitter.com/NihonRadware

あなたの知らないとっても恐ろしいDDoSサイバー攻撃

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (14)

Similar to あなたの知らないとっても恐ろしいDDoSサイバー攻撃

Similar to あなたの知らないとっても恐ろしいDDoSサイバー攻撃 (20)

Recently uploaded

Recently uploaded (8)

あなたの知らないとっても恐ろしいDDoSサイバー攻撃