4 /* ACK flood

Mirai Bot:
Thunder TPSで最新のDDoS攻撃を防御
Confidential |
©A10
Networks, Inc.
目次
Mirai Bot (ミライ ボット)とは
Miraiの攻撃手法
Thunder TPSによるDDoS対策
Mirai Bot (ミライ ボット)とは
• 2016年秋に登場したDoS攻撃を仕掛ける
• マルウェアを仕掛ける標的は
• 感染されたデバイスは
マルウェア
WebカメラやIoTデバイス
50万台以上
• 攻撃者は感染したデバイスを操作し、標的のサーバ/サービスに対して
600Gbps 以 上 の 攻 撃 が 可 能
• Miraiのソースコードが公開されそれをもとに
亜種の
マルウェア が 相 次 い で 出 現
• 実際に被害を受けたユーザー:AWS/Twitter/CNN/Google等
Mirai Bot webサイト
Miraiの攻撃手法
• 8種のDDoS攻撃
#define ATK_VEC_UDP
#define ATK_VEC_VSE
#define ATK_VEC_DNS
#define ATK_VEC_SYN
#define ATK_VEC_ACK
#define ATK_VEC_STOMP
#define ATK_VEC_GREIP
#define ATK_VEC_GREETH
//#define ATK_VEC_PROXY
#define ATK_VEC_UDP_PLAIN
#define ATK_VEC_HTTP
0
1
2
3
4
5
6
7
8
9
10
/*
/*
/*
/*
/*
/*
/*
/*
/*
/*
/*
Straight up UDP flood */
Valve Source Engine query flood */
DNS water torture */
SYN flood with options */
ACK flood */
ACK flood to bypass mitigation devices */
GRE IP flood */
GRE Ethernet flood */
Proxy knockback connection */
Plain UDP flood optimized for speed */
HTTP layer 7 flood */
Miraiのソースコード
L3~L7に渡るマルチレイヤーの攻撃・手法
Miraiを根本から止めるのは困難
M ira i は
• セ キュ リ ティ対策 が十分でないIoT デバイスを 狙う
(管理アカウントがデフォルト状態のLinux系のデバイス)
• 既 に 5 0 万 台以上 が感染 *
* http://www.securityweek.com/over-500000-iot-devices-vulnerable-mirai-botnet
全 て の IoTデバ イスに対 策が取 られる こ とを 期待する のは 現実的
ではない
root
xc3511
root
vizxv
root
admin
admin admin
root
888888
root
xmhdipc
root
default
root
juantech
root
123456
root
54321
support support
root
admin
root
root
user
admin
root
admin
:
:
(none)
password
root
12345
user
(none)
pass
admin1234
60個以上の初期の管理アカウントを使用し感染を試みて
いる
今 後 もIo T に よるD D oS攻撃 は増大 するこ と が予 測さ れる
サーバ/サービス側のDDoS対策が急務
Thunder TPSによるDDoS対策
A 1 0 T H U N D E R T P S で 、Mir ai に よ る全ての D D oSを
“ L 3 ~ L7に渡るマルチレイヤー ”でMitigation しま す
Miraiによる攻撃種別
Thunder TPSによる対策
0 /* Straight up UDP flood */
1 /* Valve Source Engine query flood */
○ UDPレベルのMitigation
○ UDPレベルのMitigation
2 /* DNS water torture */
○ DNSレベルのMitigation
3 /* SYN flood with options */
○ ハードウェア/ソフトウェアによるMitigation
○ TCPレベルのMitigation
4 /* ACK flood */
5 /* ACK flood to bypass mitigation devices */
6 /* GRE IP flood */
○ TCPレベルのMitigation
○ GREレベルのMitigation
8 /* Proxy knockback connection */
○ GREレベルのMitigation
(Mirai未実装)
9 /* Plain UDP flood optimized for speed */
○ UDPレベルMitigation
10/* HTTP layer 7 flood */
○ HTTPレベルのMitigation
7 /* GRE Ethernet flood */
Thank you