Agile Cat — in the cloud

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!

Posted in .Selected, Research, Security, Strategy by Agile Cat on February 11, 2014

Record-breaking DDoS attack struck on Monday, according to reports
http://wp.me/pwo1E-7bU

By David Meyer – Feb 11, 2014
http://gigaom.com/2014/02/11/record-breaking-ddos-attack-struck-on-monday-according-to-reports/

_ Giga Om

Summary: The attack, which appears to have been felt particularly hard in Europe, apparently exploited the protocol that maintains the accuracy of computers’ clocks.

この攻撃は、特にヨーロッパで激しかったようだが、コンピュータにおける時刻を、正確に保つためのプロトコルを、明らかに悪用したものであった。

ーーーーー

photo: Thinkstock

Somebody out there was getting hit hard by a distributed denial-of-service (DDoS) attack on Monday, according to multiple reports. And it looks like this one was even harsher than last year’s Spamhaus incident, at the time the biggest known DDoS attack in the history of the internet.

複数のレポートから推測するに、月曜日の DDoS 攻撃(distributed denial-of-service)を、どこかで受けている読者もいるだろう。今回の攻撃は、インターネットの歴史において、最大の DDoS 攻撃として有名な、昨年の Spamhaus よりも厳しいものだったようだ。

According to Matthew Prince, CEO of anti-DDoS protection outfit CloudFlare:

対 DDoS 防御団体 CloudFlare の CEO である、Matthew Prince は以下のようにツイートしている:

Prince went on to say the attack was running at over 400Gbps (Spamhaus was around 300Gbps), though confidentiality stopped him from identifying which client was getting hammered. He said the effects were being felt particularly in Europe, with the attack being mostly mitigated but still “big enough it caused problems even off our network, which is super annoying.”

Prince は、この攻撃が、400 Gbps 以上( Spamhaus は 300Gbps 前後)で荒れ狂っていると言い続けていたが、大きな打撃を受けているクライアント名については、機密性を考慮するために言及しなかった。特にヨーロッパでの被害が大きいが、だいぶ緩和されてきたとも言っている。ただし、それでも「私たちのネットワークに問題をもたらすほどの、たいへんな規模のものであり、とても迷惑している」と伝えている。

French hosting outfit OVH also reported fending off an attack running at over 350Gbps, though of course it’s impossible to say whether the same attacker was responsible.

フランスのホスティング会社である OVH も、350 Gbps で突進してくる攻撃を、かわしているところだと報告している。しかし、当然のことだが、同一の攻撃者によるものかどうかは、現時点では判明できないとしている。

Reflect and amplify

What’s interesting about the attack reported by CloudFlare is its technique. DDoS is all about overwhelming the target’s servers with more data packets than their switches can handle, and both this and the Spamhaus attack seem to have used an “reflection and amplification” method to achieve this goal.

CloudFlare からのレポートで興味深いのは、この攻撃で用いられたテクニックである。DDoS 攻撃は、あらゆるスイッチが処理できないほどの、大量のデータ・パケットを用いて、ターゲットとあるサーバーを圧倒するというものである。それと同様に、Spamhaus の攻撃でも、“reflection and amplification” の手法を用いることで、その目標を達成しようとしていた。

In the case of the Spamhaus attack, the perpetrators spoofed the IP address of the target and sent off domain name system (DNS) queries – which are usually along the lines of “What’s the IP address for this spelled-out website name?” – to open DNS resolvers that will answer any request from anywhere.

Spamhaus のケースでは、攻撃者はターゲットの IP アドレスをスプーフィングし、DNS クエリを送信することで(通常は What’s the IP address for this spelled-out website name? という問い合わせを繰り返す)、どこからの要求にも回答する、DNS リゾルバ をオープンしていた。

The attackers deliberately made queries that would elicit much larger responses and, because they were pretending to be whoever they were targeting, the poor victim would suddenly have tons of data flung at it, exacerbated by the number of machines controlled by the attacker and used to send out these requests.

しかし、攻撃者たちは、それよりも遥かに大きな反応を誘発させるクエリを、意図的に作ってくる。そして、彼らは、そのターゲットにした誰になりすましているため、かわいそうな被害者は、投げつけられた大量のデータを、そのタイミングで受け取ってしまう。そして、攻撃者によりコントロールされ、それらのリクエストを送信するマシンが増えることで、さらに事態が悪化していく。

The new attack uses a similar mechanism, only it doesn’t exploit badly-configured DNS servers. Instead, it uses network time protocol (NTP) servers – the machines with which your computer will periodically shake hands in order to check what the time is. This was the same tactic used to attack a bunch of big online gaming services last month.

今回の攻撃も、同様のメカニズムを用いているが、設定に不備のある DNS サーバーを悪用するというものではない。それに代えて、NTP(network time protocol)サーバーを悪用している。あなたのコンピュータが、設定されている時刻が正しいことを確認するために、定期的にアクセスするのが NTP サーバーである。先月にも、大手のオンライン・ゲーム・サービスに、大規模な攻撃が仕掛けられたが、そのときの戦術と同じものである。

“Ugly things to come”

As CloudFlare recently explained, the NTP protocol is “ideal as a DDoS tool” because at least one of its functions will return data that is far more voluminous than the triggering request (specifically, the “monlist” command that asks the server for the addresses of the last 600 computers that used it). That post also includes some handy details about updating NTP servers to stop them from being misused in this way.

先日にも、CloudFlare が説明しているように、NTP 機能における少なくとも 1つは、リクエストのトリガーよりも遥かに膨大なデータを返すため、このプロトコルは、「DDoS 攻撃ツールとして理想的」なのである(具体的にいうと、monlist コマンドのことであり、それを直近に使用したコンピュータについて、600件のアドレスを、そのサーバーから参照できてしまう)。この、ClloudFlare の記事には、このよう悪用を防ぐための、NTP サーバーの更新に関する、いくつかの有用な情報が含まれている。

Of course, if everyone kept their publicly-connected servers up-to-date, we’d see a good deal less online crime. But they don’t, so, as Prince observed:

パブリックに接続されたサーバーを、誰もが最新の状態に保っていれば、このようなオンラインにおける犯罪も減少していくだろう。しかし、Prince が観察したところによると、そうなっていないのである。

Related research?

How Hadoop passes an IT audit January 2014
Who to watch in the growing European cloud market September 2013
Key factors IT managers face when deploying SDN solutions August 2013

ーーーーー

TAG indexこのような内容のポストを訳すのは、初めてのことす。 そのため、解釈や用語に不備があると思っています。 セキュリティに詳しい方に、お気づきの点を、ご指摘いただければ幸いです。 ーーー それにしても、とんでもないことを、やってくれますね。 ソチ五輪もターゲットになっているのでしょうかね? 以前に訳した NIST のドキュメントに、「いろいろな意味で、ハッカーがアセンブルしコントロールするボット(botnet)が、クラウド・コンピューティングにおける早期の形態である」という一文があったことを思い出しました。終わりなき戦いなのですね。。。image

ーーーーー

<関連>

SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
BYOD – エンタープライズは生産性の向上とセキュリティ・リスクを秤にかける
セキュリティ調査 – Sybase – ヒューマン・エラーが 48% で最大の脅威
企業データにアクセスするモバイルと、セキュリティとの関係を、そろそろ真剣に考えよう

4 Responses

Subscribe to comments with RSS.

  1. Maruo said, on February 12, 2014 at 10:43 pm

    DDoSは、400Gbpsのトラフィック量も出せるんですかぁ。参考になりました。

  2. […] 引用元: この月曜日に、記録破りの DDoS 攻撃が仕掛けられた! | Agile Cat — in the …. […]


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: