TCP SYN サービス拒絶攻撃から保護するための戦略の定義
目次
概要
そのインターネットサービスプロバイダー(ISP)に潜在的なDoS攻撃がターゲット ネットワークデバイスあります。
-
TCP SYN不正侵入: 送信側は完了することができない接続の音量を送信します。 これにより接続キューが飽和して、正当な TCP ユーザへのサービスが行われなくなります。
この用紙は可能性 TCP SYN不正侵入がそれに対して守るのに Cisco IOSソフトウェアを使用する提案された方法どのようにの発生するか技術的説明が含まれ。
注: Cisco IOS 11.3 ソフトウェアに機能がアクティブに TCP サービス拒否不正侵入を防ぐあります。 この機能は TCP インターセプトを設定する資料に説明があります(サービス拒否攻撃を防いで下さい)。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
問題の説明
TCP SYN不正侵入
標準 TCP 接続が開始するとき、宛先ホストはソースホストから SYN (同期し、/開始する、)パケットを受信しましたり SYN ACK を送返します(確認します同期して下さい)。 宛先ホストは接続が確立される前にそれから SYN ACK の ACK を(確認して下さい)聞く必要があります。 これは「TCP 3 ウェイ ハンドシェイクと言われます」。
SYN ACK に対する ACK を待機している間、宛先ホスト上の有限サイズの接続キューは、完了を待機している接続の追跡管理を続けます。 このキューは一般的に ACK が SYN ACK の後の着くと少数のミリ秒期待されるのですぐに空になります。
TCP SYN 攻撃は、攻撃側発信元ホストに、標的ホストに向けてランダムな発信元アドレスを持つ TCP SYN パケットを生成させることで、この設計を不正に利用しています。 標的の宛先ホストでは、このランダムな発信元アドレスに SYN ACK を返信し、接続キューにエントリを追加します。 SYN ACK が不正確なか非存在ホストに向かうので、「3方向ハンドシェイク」の最後の一部は決して完了しないし、タイマーが切れるまでエントリは約 1 分の接続キューに、一般的に残ります。 ランダムな IP アドレスからの偽の TCP SYN パケットを高速に生成することにより、接続キューをいっぱいにして、正当なユーザへの TCP サービス(電子メール、ファイル転送、WWW など)を提供できなくすることが可能です。
発信元の IP アドレスは偽造されているので、攻撃の発信元を追跡する簡単な方法はありません。
この問題は外観上、電子メールを取得できない、WWW または FTP サービスへの接続を受け入れることができない、あるいは、ホスト上の大量の TCP 接続が SYN_RCVD 状態になる、といった症状となって現れます。
ネットワークデバイスの不正侵入に対して防御
ファイアウォールの後ろのデバイス
TCP SYN不正侵入はランダムソース IP アドレスからの Syn パケットの流入によって特徴付けられます。 受信 Syn パケットを停止するファイアウォールの後ろのどのデバイスでもこの攻撃のモードおよびそれ以上の操作から既にです必要保護されていません。 ファイアウォールの例はアクセス リストで設定される Cisco Private Internet Exchange (PIX) ファイアウォールか Ciscoルータが含まれています。 Ciscoルータのアクセス リストを設定する方法の例に関しては参照して下さい
共用利用可能 サービス(メール サーバ、パブリックWebサーバ)を提供するデバイス
ランダム IP アドレスからファイアウォールの後ろのデバイスの SYN不正侵入を防ぐことは明示的に選り抜きにインバウンドアクセスを制限するのに少数の IP アドレス アクセス リストを使用できるので比較的簡単です。 ただし、インターネットに直面するパブリックWebサーバかメール サーバの場合にはどの着信 IP 送信元アドレスが友好的であり、どれが非友好的であるか判別する方法がありません。 従って、ランダム IP アドレスからの攻撃に対する明解な防御がありません。 複数のオプションはホストに利用できます:
-
接続キュー(SYN ACK キュー)のサイズを増加して下さい。
-
3方向ハンドシェイクを待っているタイムアウトを減少させて下さい。
-
問題を検出する、避けるためにベンダーソフトウェア パッチを用いて下さい(もし可能であれば)。
TCP SYN ACK 攻撃を当たるためにそれらが特定のパッチを作成したかどうか見るためにホスト ベンダーに連絡する必要があります。
注: サーバの IP アドレスをフィルタリングすることは攻撃者が彼の IP アドレスを変えることができアドレスが正当 な ホストのそれと同じではないかもしれないしまたはそうではないかもしれないので非効果的です。
ネットワークがいつのまにか攻撃に加担している事態の防止
この DoS攻撃の主要なメカニズムがランダム IP アドレスからソースをたどられるトラフィックの生成であるのでインターネットに向かうフィルタリング トラフィックを推奨します。 基本的に、「無効な送信元 IP アドレスを持つパケットがあればインターネットに入る前に廃棄する」と考えてください。 これはネットワークの DoS攻撃を防ぎませんが、攻撃されたパーティが攻撃者の出典として宛先住所を除外するのを助けます。 さらに、それはネットワークを攻撃のこのクラスのためのベースとしてより少なく魅力的にします。
無効な IP アドレスの送信の禁止
お客様のネットワークをインターネットに接続するルータ上でパケットをフィルタリングすれば、有効な送信元 IP アドレスを持つパケットだけをお客様のネットワークからインターネットに送信できます。
たとえばネットワークがネットワーク 172.16.0.0 で構成されていれば、およびルータ シリアルを使用して ISP に 0/1 のインターフェイスを、アクセス リストを追加できます接続します次の通り:
access-list 111 permit ip 172.16.0.0 0.0.255.255 any access-list 111 deny ip any any log interface serial 0/1 ip access-group 111 out
注: アクセス リストの最後の行はインターネットを入力する無効な送信元アドレスとのトラフィックがあったかどうか確認します。 この行はそれほど重要ではありませんが、起こりうる攻撃の送信元を特定する際に役立ちます。
無効な IP アドレスの受信の禁止
ネットワークを終了するためにサービスを提供する ISP に関しては強くクライアントからの着信パケットの検証を推奨します。 これを行うには、境界ルータ上で着信パケットのフィルタリングを行います。
たとえば、クライアントに「シリアル 1/0" と指名されるシリアルインターフェイスによってルータに接続される次のネットワーク番号があれば次のアクセス リストを作成できます:
The network numbers are 192.168.0.0 to 192.168.15.0, and 172.18.0.0. access-list 111 permit ip 192.168.0.0 0.0.15.255 any access-list 111 permit ip 172.18.0.0 0.0.255.255 any access-list 111 deny ip any any log interface serial 1/0 ip access-group 111 in
注: アクセス リストの最後の行はインターネットを入力する無効な送信元アドレスとのトラフィックがあったかどうか確認します。 この行はそれほど重要ではありませんが、起こりうる攻撃の送信元を特定する際に役立ちます。
このトピックは NANOG [北アメリカ ネットワーク Operator1s グループ]メーリングリストの詳細で説明されていました。 リスト アーカイブはで見つけられます: http://www.merit.edu/mail.archives/nanog/index.html 
TCP SYN DoS攻撃および IPスプーフィングの詳細な説明に関しては、参照して下さい: http://www.cert.org/advisories/CA-1996-21.html
http://www.cert.org/advisories/CA-1995-01.html
フィードバック