2009/01/28
【GROWメール】知って得するサーバーのちょっといい話!?
━━≪ GROWマガジン ≫━━━━━━━━━━━━━━━━━━━━
┌──┐
|\/|知って得するサーバーのちょっといい話!?
└──┘
━━━━━━━━━━━━━━━━ http://www.grow-planning.com/
今回は、
サーバーについてのお話しを、
ちょっと難しいかもしれませんが、
解らない方には
サーバーに関する知識程度にも憶えておいてくださいね☆
レンタルサーバーの利用者が
DNSの運用に目を向ける機会は少ないかもしれませんが、
DNSがDDoSの道具となってしまうという危険性については、
加害者・被害者の
両方になり得るという観点から知っておいて損はないと思いますよ。
--◆「DoS」「DDoS」とは? -----------------------------------------
最近、
「DoS」「DDoS」と
呼ばれるサーバー攻撃にDNSが悪用される、
ということに関する認識が高まっています。
「DoS」は
「Denial of Service(サービス不能攻撃)」の略で、
攻撃対象となるホストに対して大量のデータを送りつけ、
そこで提供されているサービスを利用不能にしてしまうものです。
レンタルサーバーの利用者にとって、
攻撃が自分に向けられることは脅威であることはもちろん、
サーバーに侵入され、
「踏み台」にされて「加害者」
となってしまうこともあります。
もう1つの
「DDoS」とは
「Distributed DoS(分散サービス不能攻撃)」の略で、
攻撃元を分散させることでフィルタリングを困難にし、
攻撃力も単なるDoSをはるかに上回るものです。
最近ではウイルスやトロイの木馬と呼ばれる手法を用い、
攻撃者の意のままに操ることができるように
された多数のPCを使う以前に紹介した、
「ゾンビPC」や「ボットネット」
と呼ばれる仕組みを攻撃に利用する例がよく見られます。
--◆DNSのトラフィック増幅機能 ------------------------------------
DNSを利用したDDoSを理解するためには、
DNSの問い合わせと
応答の通信データ量(トラフィック)の
特性を知っておくことが必要ですね。
DNSの問い合わせはとても単純です。
ドメイン名と、知りたい情報のタイプを指定しているだけなので、
普通はわずか数十バイトです。
これに対して応答のサイズは、
要求した情報タイプにもよりますが、
数百バイト、
場合によっては数千バイト
にもなることがあります。
小さなデータを送ると大きなデータが返ってくる、
というのがDNSの性質で、
言い換えるとトラフィックを増幅させている、
ということになります。
トラフィックだけ見れば、DNSは増幅器なのです。
そして、
この性質がDDoSに悪用されてしまうのです。
--◆DNSリフレクション攻撃とは -----------------------------------
DNSを利用したDDoSを行う攻撃者は、
まず、
管理下にある
(もしくは不正に侵入した)
権威DNSサーバーに、大きな情報を登録しておきます。
そして、
ISPなどが運用するDNSキャッシュサーバーに、
その大きな情報を検索するように問い合わせを出します。
普通なら問い合わせを出した攻撃者の元へ応答が
返ってくるのですが、
攻撃者は問い合わせをするときに、
データの送信元IPアドレスを攻撃対象のIPアドレスに
書き換えて送り出します
(これを「送信元IPアドレスの詐称」と言います)。
こうすることでDNSの応答は
攻撃対象に向かって送られることになります。
増幅器となるDNSキャッシュサーバーの数を増やせば、
攻撃力はその数に比例して増加し、
非常に厄介なDDoSとなり、
さらにボットネットなどを使ってDNSキャッシュサーバーへ
問い合わせを出すことも考えられます。
この場合は
数百!または数千!!
といった攻撃側の性能限界まで実行されるため、
その攻撃力は想像を超えたものになります!!!
このように、
問い合わせデータを
DNSキャッシュサーバーが
増幅(amplify)・反射(reflection)
して攻撃対象へ送るように見えることから、
この攻撃は
「DNSamp」や「DNSリフレクション攻撃」
と呼ばれます。
--◆どのように対策を立てたらいいの? ------------------------------
さて、
この攻撃を防ぐためにはどうしたらよいのでしょう?
残念ながら、効果的な防衛策はありません。
決定的なDDoS防衛対策がなかなか開発できないことは、
多くの事業者の悩みの種の1つですね。
この問題には、攻撃そのものを防ぐという視点で、
インターネット全体での対策が必要で、
具体的には次のようなことが考えられます。
■1. DNSキャッシュサーバーのアクセス制限
DNSキャッシュサーバーに
インターネット全体からアクセスできるようになっていると、
DNSリフレクション攻撃のように
悪用される危険性が高まります。
レンタルサーバー上で
DNSキャッシュサーバーを運用している場合、
必要な範囲からのアクセスのみを
許可するようにしておかないと、
ある日突然・・・
「あなたのDNSサーバーから攻撃が来ている」
と言われかねません!!
■2. 送信元IPアドレス詐称を防ぐ
DNSリフレクション攻撃は、
送信元IPアドレスの詐称により可能となります。
そもそも、
インターネットにおいて送信元IPアドレスを
詐称することがあってはいけません。
このため、
ネットワークの運営者は、
自分のネットワークとインターネットとの境界において、
インターネットへ出て行こうとする
データの送信元IPアドレスを確認し、
それが自分のネットワークのものでない場合は
詐称していると判断して
フィルタリング対象とすべきです。
これを
「イングレスフィルタリング」
と言います。
これらの対策は、
レンタルサーバー利用者ではなく、
ISPやレンタルサーバー事業者が行うべきもので
あることが多いですが、
DoSやDDoSは、
今日のインターネットにおいて
あらゆる人が認識すべき問題であり、
対策に取り組まなければならない課題ですね。
自分自身や自分が
利用しているサービス事業者が
、
問題意識を持って対策しているかについて、
考える機会を持ってみてはいかがでしょうか。
===================================================================
●パソコン初心者でもネットで起業ができる!グロウプランニング!!
http://www.grow-planning.com/
●今ならDVD付き無料資料がもらえる!
http://www.grow-planning.com/p01.html
-------------------------------------------------------------------
◆━━━━━━━━━━━━━━━━━━━━━━━━━━━◆
毎日NEW情報をてんこもりにご紹介!!
読まなきゃそん♪そん♪ですよ(〇^∀')O*.b
最後までご覧いただきまして本当にありがとうございます(*:U:*)ノ♪*゜
それではまた、次回のメルマガでお会いしましょう!(^▽^)ノ☆彡
***********************************************************
札幌市中央区南1条西13丁目4-52山新ビル4F
株式会社グロウプランニング
URL:http://www.grow-planning.com/
