セキュリティと VPN : Kerberos

分散型サービス拒絶(DDoS)攻撃を防ぐ対策

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 4 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この白書は攻撃を疑えば、ホスト セキュリティについて学びます詳細を含まれています分散型サービス拒否 (DDoS)不正侵入がどのように管弦楽に編曲されるか理解するのを助けるために情報が、認識します DDoS攻撃を促進するのに使用されるプログラムを適用し不正侵入を防ぐ手段を収集する法廷情報。

DDoS 攻撃の基本について

この実例を参照して下さい:

ddos.jpg

上の図では、Client の背後に攻撃を企てる人が存在します。 Handler は、侵入されるホストで、特別なプログラムを実行しています。 それぞれのHandlerには複数のAgentを制御する機能があります。 エージェントは特別 な プログラムを実行するコンプロマイズド ホストです。 それぞれのAgentは、標的に向けられたパケットを流すために使用されます。

攻撃者は既知ずっと DDoS攻撃を開始するのにこの 4 つのプログラムを使用するようにです:

  1. Trinoo

  2. TFN

  3. TFN2K

  4. Stacheldraht

攻撃者が DDoS を実行するには、数百から数千の侵入されるホストが必要です。 ホストは通常 Linux および SUN コンピュータです; しかし、ツールは他のプラットフォームに同様に移植することができます。 ホストに侵入するプロセスと、ツールをインストールするプロセスは、自動化されています。 プロセスは攻撃者これらのステップに分けることができます:

  1. 非常に多数のホスト(100,000 台以上)が無防備であるかどうかを検出するスキャンを開始します。

  2. アクセスを確立するために、無防備なホストに侵入します。

  3. 各ホストにツールをインストールします。

  4. 侵入したホストを使用して、さらにスキャニングと侵入を行います。

自動化 された プロセスが使用されるので、攻撃者は 5 秒以下単一 の ホストでツールを妥協し、インストールできます。 言い換えれば、1 時間もかけずに数千台のホストに侵入できることになります。

攻撃の実行に使用される一般的なプログラムの特性

これらはハッカー使用 分散型サービス拒否不正侵入を促進するためよくあるプログラムです:

  • Trinoo

    クライアント、ハンドラおよびエージェント間の通信はこれらのポートを使用します:

    1524 tcp
    27665 tcp
    27444 udp
    31335 udp

    注: 上記のポートは、このツールのデフォルトのポートです。 ポートの番号は容易に変更できるため、これらのポートは説明および例としてだけ使用してください。

  • TFN

    Client (クライアント)、Handler(ハンドラ)、およびAgent (エージェント)間の通信では、ICMP ECHO パケットと ICMP ECHO REPLY パケットを使用します。

  • Stacheldraht

    クライアント、ハンドラおよびエージェント間の通信はこれらのポートを使用します:

    16660 tcp
    65000 tcp
    ICMP ECHO
    ICMP ECHO REPLY

    注: 以前にリストされているポートはこのツールのためのデフォルトポートです。 ポートの番号は容易に変更できるため、これらのポートは説明および例としてだけ使用してください。

  • TFN2K

    クライアント、ハンドラおよびエージェント間の通信は特定のポートを使用しません、たとえば、ランタイムで供給されるかもしれないしまたはプログラムによってランダムに選択されますが、UDP、ICMP および TCP パケットの組み合せです。

    DDoS プログラムの詳細な分析に関しては、これらの技術情報を読んで下さい。

注: Theaw リンクはシスコシステムズによって維持されない外部のウェブサイトを指します。

The DoS Project's "trinoo" distributed denial of service attack tool leavingcisco.com

The "Tribe Flood Network" distributed denial of service attack tool leavingcisco.com

The "stacheldraht" distributed denial of service attack tool leavingcisco.com

DDoS ツールおよびバリアントに関するその他の情報はパケットストーム Webサイトの分散攻撃ツールのインデックスで見つけることができますleavingcisco.com

防止

これらは分散型サービス拒否攻撃を防ぐ提案された方法です。

  1. 接続の上流側の端にあるルータの入力インターフェイスで、ip verify unicast reverse-path インターフェイス コマンドを使用します。

    この機能は、インターフェイスで受信された各パケットを検査します。 発信元 IP アドレスについて、パケットが受信したインターフェイスと同じ インターフェイスに戻る経路が CEF テーブル内にない場合、ルータはその パケットをドロップします。

    ユニキャスト RPF の機能は、SMURF 攻撃(および発信元 IP アドレスの偽装を用いる他の攻撃)を ISP の POP(リースとダイヤルアップ)で止めることです。 この機能により、ネットワークとカスタマー、および他のインターネットを保護できます。 ユニキャスト RPF を使用するには、ルータで「CEF スイッチング」または「CEF 分散型スイッチング」を有効にします。 CEF スイッチングの場合は、入力インターフェイスを設定する必要はありません。 CEF がルータで実行されている間は、個々のインターフェイスに他のスイッチング モードを設定できます。 RPF は入力側の機能であり、インターフェイスまたはサブインターフェイスを有効にし、ルータで受信されたパケットに対して動作します。

    ルータで CEF を動作することは非常に重要です。 RPF は CEF なしでははたらきません。 ユニキャスト RPF は、11.2 または 11.3 のイメージではサポートされません。 ユニキャスト RPF は AS5800 を含む、CEF をサポートするプラットフォームの 12.0 に含まれています。 したがって、AS5800 の PSTN/ISDN ダイヤルアップ インターフェイスでは、ユニキャスト RFP を設定できます。

  2. アクセス コントロール リスト(ACL)を使用してすべてのleavingcisco.com RFC-1918 アドレス スペースをフィルタリングして下さい。

    この例を参照して下さい:

    access-list 101 deny ip 10.0.0.0    0.255.255.255 any
    access-list 101 deny ip 192.168.0.0 0.0.255.255 any
    access-list 101 deny ip 172.16.0.0  0.15.255.255 any
    access-list 101 permit ip any any
    
    interface xy
       ip access-group 101 in

    フィルタリングすることができる特別な使用 IPv4 アドレス スペースについてのもう一つの情報ソースは IANA に」。登録されていた特別な使用 IPv4 アドレスブロックを文書化する(今切らされた) IETF草案leavingcisco.com 「です

  3. ACL を使用して(RFC-2267 を参照して下さい)フィルタリングする入力leavingcisco.com および出力を適用して下さい。

    この例を参照して下さい:

         { ISP Core } -- ISP Edge Router -- Customer Edge Router -- { Customer network }

    ISP のエッジ ルータでは、カスタマーのネットワークに属する発信元アドレスを持つトラフィックだけを受け入れるようにします。 カスタマー側のネットワークでは、カスタマーのネットワーク ブロック以外の発信元アドレスを持つトラフィックだけを受け入れるようにします。 これは ISP エッジルータのためのサンプル ACL です:

    access-list 190 permit ip {customer network} {customer network mask} any 
    access-list 190 deny ip any any [log] 
    
    interface {ingress interface} {interface #} 
    	ip access-group 190 in 

    これはカスタマー エッジ ルータのためのサンプル ACL です:

    access-list 187 deny ip {customer network} {customer network mask} any 
    access-list 187 permit ip any any 
    
    access-list 188 permit ip {customer network} {customer network mask} any 
    access-list 188 deny ip any any 
    
    interface {egress interface} {interface #} 
    	ip access-group 187 in 
    	ip access-group 188 out 

    Cisco Express Forwarding(CEF)を実行できる場合は、ACL での長さをかなり短くできるため、ユニキャストRPFを有効にすることで処理効率が上がります。 Unicast Reverse Path Forwarding をサポートするために、ただルータ全体の CEF を有効に できます必要があります; 機能が有効に なる インターフェイスは CEF 交換インターフェイスである必要はありません。

  4. CAR を使用して、ICMP パケットにレート制限を適用します。

    この例を参照して下さい:

    interface xy 
     rate-limit output access-group 2020 3000000 512000 786000 conform-action 
    transmit exceed-action drop 
    
    access-list 2020 permit icmp any any echo-reply 
  5. SYN パケットにレート制限を設定します。

    この例を参照して下さい:

    access-list 152 permit tcp any host eq www 
    access-list 153 permit tcp any host eq www established 
    
    interface {int} 
    	rate-limit output access-group 153 45000000 100000 100000 
    conform-action transmit exceed-action drop 
     	rate-limit output access-group 152 1000000 100000 100000 
    conform-action transmit exceed-action drop 

    前例では、取り替えて下さい:

    • リンクの帯域幅の最大値に 45000000

    • SYN フラッド レートの 50 〜 30 % の間の値に 1000000

    • 通常のバースト レートと最大バースト レートを正確な値に置き換えます

    大きいバースト レートをより 30% の設定 したら、多くの正規の SYN は廃棄されるかもしれないことに注目して下さい。 バースト レートを設定 するために、インターフェイスのための準拠 され、超過されたレートを表示するために show interfaces rate-limit コマンドをどこをの考えを使用するか得るため。 この操作の目的は、SYN に必要最低限のレート リミットを与えて、再度実行することです。

    警告 警告: (不正侵入が発生する前に) NORMAL 状態の間に最初に Syn パケットの量を測定することを推奨し、制限するのにそれらの値を使用します。 このメジャーを展開する前に数を注意深く検討して下さい。

    SYN不正侵入があるホストに対して向けられる場合、そのホストで IP フィルタリング パッケージをインストールすることを考えて下さい。 このようなパッケージの 1 つに IP Filter があります。leavingcisco.com インプリメンテーションの詳細については IPフィルタleavingcisco.com 例を参照して下さい

証拠および法的処置に連絡することをキャプチャ します

もし可能なら、後部分析のための攻撃 トラフィック サンプルを得て下さい(一般に「パケットキャプチャとして」知られている)。 パケットのフローに遅れずについていく十分な処理力と Solaris または Linux ワークステーションを使用して下さい。 そのようなパケットキャプチャを得るために、tcpdump プログラム(Windowsleavingcisco.com 、Solaris および Linux オペレーティング システムのために利用可能 な)またはスヌープ プログラムを使用して下さいleavingcisco.com (Solaris OS だけ用利用可能 な)。 これは方法の基本的な例それらのプログラムを使用するです:

tcpdump -i interface -s 1500 -w capture_file
  snoop -d interface -o capture_file -s 1500

この例の MTU サイズは 1500 です; MTU が 1500 より大きい場合このパラメータを変更して下さい。

法的処置を含みたいと思い、米国の内にあったら、ローカル FBI フィールドオフィスに連絡して下さい。 自国 部隊 支援 施設 保護 センター Webサイトを参照して下さい。 ヨーロッパにいる場合、連絡先存在のポイント無し。 地元警察に連絡し、支援を頼んで下さい。

CISCO は為の法執行機関に連絡できません。 お客様から最初の連絡が行われた後であれば、シスコ PSIRT チームは司法機関に協力できます。

一般のホスト セキュリティ マテリアルに関しては、CERT/CC Webページをleavingcisco.com 参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13634