TCP SYN サービス拒絶攻撃から保護するための戦略の定義
目次
概要
Internet Service Provider(ISP; インターネット サービス プロバイダー)では、ネットワーク デバイスを対象としたサービス拒否攻撃が起こり得ます。
-
TCP SYN 攻撃: 送信側は完了することができない接続の音量を送信します。 これにより接続キューが飽和して、正当な TCP ユーザへのサービスが行われなくなります。
この文書では、潜在的な TCP SYN 攻撃がどのように発生するかの技術的側面を説明し、Cisco IOS ソフトウェアを使用してこの攻撃を防御する推奨手法を説明します。
注: Cisco IOS 11.3 ソフトウェアに機能がアクティブに TCP サービス拒否不正侵入を防ぐあります。 この機能は、文書「TCP インターセプトの設定(サービス拒否攻撃の防御)」に説明されてます。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
問題の説明
TCP SYN 攻撃
通常の TCP 接続の開始時には、宛先ホストは発信元ホストから SYN(synchronize/start)パケットを受信し、SYN ACK(synchronize acknowledge)を返送します。 続いて、接続が確立される前に、宛先ホストは SYN ACK に対する ACK(acknowledge)を受け取る必要があります。 これは、「TCP 3 ウェイ ハンドシェイク」と呼ばれます。
SYN ACK に対する ACK を待機している間、宛先ホスト上の有限サイズの接続キューは、完了を待機している接続の追跡管理を続けます。 ACK は SYN ACK の数ミリ秒後に到達すると想定されており、通常、このキューはすぐに空になります。
TCP SYN 攻撃は、攻撃側発信元ホストに、標的ホストに向けてランダムな発信元アドレスを持つ TCP SYN パケットを生成させることで、この設計を不正に利用しています。 標的の宛先ホストでは、このランダムな発信元アドレスに SYN ACK を返信し、接続キューにエントリを追加します。 SYN ACK の宛先は不正なホストや存在しないホストなので、「3 ウェイ ハンドシェイク」の最後の部分が完了せず、タイマーが期限切れになるまで(一般的には約 1 分間)接続キューにエントリが残ってしまいます。 ランダムな IP アドレスからの偽の TCP SYN パケットを高速に生成することにより、接続キューをいっぱいにして、正当なユーザへの TCP サービス(電子メール、ファイル転送、WWW など)を提供できなくすることが可能です。
発信元の IP アドレスは偽造されているので、攻撃の発信元を追跡する簡単な方法はありません。
この問題は外観上、電子メールを取得できない、WWW または FTP サービスへの接続を受け入れることができない、あるいは、ホスト上の大量の TCP 接続が SYN_RCVD 状態になる、といった症状となって現れます。
ネットワークデバイスへの不正侵入に対する防御
ファイアウォールを支えるデバイス
TCP SYN 攻撃の特徴は、ランダムな発信元 IP アドレスから SYN パケットが殺到することです。 受信 Syn パケットを停止するファイアウォールの後ろのどのデバイスでもこの攻撃のモードおよびそれ以上の操作から既にです必要保護されていません。 ファイアウォールの例はアクセス リストで設定される Cisco Private Internet Exchange (PIX) ファイアウォールか Ciscoルータが含まれています。 Ciscoルータのアクセス リストを設定する方法の例に関しては参照して下さい
一般に利用可能なサービス(メールサーバ、パブリックWebサーバ) を提供するデバイス
アクセス リストを使用して、着信アクセスを選ばれた少数の IP アドレスに明示的に制限できるため、ファイアウォールの背後にあるデバイス上ではランダムな IP アドレスからの SYN 攻撃を防ぐことは比較的簡単です。 Web. そのため、ランダムな IP アドレスからの攻撃に対応する明解な防御策はありません。 ホスト側で次の対策が選択できます。
-
接続キュー(SYN ACK キュー)のサイズを増加して下さい。
-
3方向ハンドシェイクを待っているタイムアウトを減少させて下さい。
-
問題を検出する、避けるためにベンダーソフトウェア パッチを用いて下さい(もし可能であれば)。
ホストのベンダーに連絡して、TCP SYN ACK 攻撃に対応するための特定のパッチをベンダーが作成しているかどうかを確認する必要があります。
注: サーバの IP アドレスをフィルタリングすることは攻撃者が彼の IP アドレスを変えることができアドレスが正当 な ホストのそれと同じではないかもしれないしまたはそうではないかもしれないので非効果的です。
ネットワークがいつのまにか攻撃に加担している事態の防止
このサービス拒否攻撃の主なメカニズムは、ランダムな IP アドレスが送信元であるトラフィックを生成することであるため、インターネットが宛先であるトラフィックをフィルタリングすることをお勧めします。 基本的に、「無効な送信元 IP アドレスを持つパケットがあればインターネットに入る前に廃棄する」と考えてください。 この方法は自社のネットワークに対するサービス拒否攻撃は防止しませんが、攻撃を受けた側で、お客様のサイトを攻撃者の発信元としては除外するのに有効です。 さらに、それはネットワークを攻撃のこのクラスのためのベースとしてより少なく魅力的にします。
無効な IP アドレスの送信の禁止
お客様のネットワークをインターネットに接続するルータ上でパケットをフィルタリングすれば、有効な送信元 IP アドレスを持つパケットだけをお客様のネットワークからインターネットに送信できます。
たとえばネットワークがネットワーク 172.16.0.0 で構成されていれば、およびルータ シリアルを使用して ISP に 0/1 のインターフェイスを、アクセス リストを追加できます接続します次の通り:
access-list 111 permit ip 172.16.0.0 0.0.255.255 any access-list 111 deny ip any any log interface serial 0/1 ip access-group 111 out
注: アクセス リストの最後の行は、インターネットに送信される不正な発信元アドレスを持つトラフィックが存在するかどうかを判別します。 この行はそれほど重要ではありませんが、起こりうる攻撃の送信元を特定する際に役立ちます。
無効な IP アドレスの受信の禁止
ネットワークを終了するためにサービスを提供する ISP に関しては強くクライアントからの着信パケットの検証を推奨します。 これを行うには、境界ルータ上で着信パケットのフィルタリングを行います。
たとえば、クライアントに「シリアル 1/0" と指名されるシリアルインターフェイスによってルータに接続される次のネットワーク番号があれば次のアクセス リストを作成できます:
The network numbers are 192.168.0.0 to 192.168.15.0, and 172.18.0.0. access-list 111 permit ip 192.168.0.0 0.0.15.255 any access-list 111 permit ip 172.18.0.0 0.0.255.255 any access-list 111 deny ip any any log interface serial 1/0 ip access-group 111 in
注: アクセス リストの最後の行は、インターネットに送信される不正な発信元アドレスを持つトラフィックが存在するかどうかを判別します。 この行はそれほど重要ではありませんが、起こりうる攻撃の送信元を特定する際に役立ちます。
このトピックは、NANOG(North American Network Operator1s Group)のメーリング リストで一部詳細に議論されています。 リスト アーカイブはで見つけられます: http://www.merit.edu/mail.archives/nanog/index.html 
TCP SYN DoS攻撃および IPスプーフィングの詳細な説明に関しては、参照して下さい: http://www.cert.org/advisories/CA-1996-21.html
http://www.cert.org/advisories/CA-1995-01.html
フィードバック