Hping3を用いたアドレス詐称/非詐称SYN Flood攻撃実験

7月23日
基礎プロジェクトA 2015
2 102
Hping3を用いたアドレス詐称/非詐称SYN Flood攻撃実験
ネットワークコンピューティング研究室 工藤渉
指導教員:小林 浩 教授
1. 研究背景と目的
・DDoS攻撃や標的型メール攻撃などサイバー攻撃が悪質化・巧妙化してき
ている.
・DDoS攻撃の一例としてSYN Flood攻撃を閉じたネットワークで実験する.
・サイバー攻撃とその知識について理解を深める.
2. SYN Flood攻撃とHping3ツールについて
SYN Flood攻撃
通常の接続
クライアント
Webサーバ
クライアント(攻撃者)
・図5ではアドレス詐称した攻撃者と被害者が同一LAN上であれば被
害者側から攻撃者のアドレス解決できないためSYN/ACKパケットは
送ることができず攻撃は成立しない.
・図6ではルータを通すことによってまず被攻撃者サーバはルータに
SYN/ACK を送るようになりルータは経路表を基に受信したパケット
の宛先IPアドレスを参照し別のネットワークに送信する.サーバは
ルータに向けてパケットを送った後の送り先はルータに任せてしま
うのでMACアドレスがわからなくてもSYN/ACKを返し続ける.
SYN+ACK
Webサーバ
図5 同じLAN内での場合のSYN/ACKの動き
SYN
SYN+ACK
ACK
大
量
の
リ
ソ
ー
ス
を
消
費
ク
ラ
イ
ア
ン
ト
の
情
報
を
保
持
SYN+ACK
外部のネット
ワークへ
図6 ルータを通してのSYN/ACKの動き
4.攻撃の対策について
iptablesを使った対策の設定
‣SYN Flood攻撃の対策は様々なものがあるが今回はiptables(Linux
のファイアウォール)を使って対策をした.
・webサーバ上で図7のように設定し再度攻撃をして観測者用のPC
でwebサーバに接続をした.
・図7のルールは同一IPから1秒間に1回だけ接続に制限しそれ以上
の接続は破棄する.
3ウェイハンドシェイ
ク
図1 通常のTCP接続
図2 SYN Flood攻撃
・SYN Flood攻撃とは,接続要求のSYNパケットを送った後サーバ側から
返ってくるSYN/ACKパケットにACKパケットを返さないことで半オープン
状態にさせ,サーバ側のリソースを消費させこれを大量に行うことで正常
,
なクライアントの接続を妨害しサービス不可能な状態にする攻撃である.
・SYN Flood攻撃はアドレスを詐称した場合と非詐称の場合と2つに分け
られる.アドレスを詐称した場合は攻撃者にSYN/ACKは返ってこない.
・攻撃ツールは「Hping3」 [1]を用いた.様々なパケットを作ることができ,
さらに送信元IPを偽装することや,パケットの送信速度を変えられる.
図7 iptablesの設定[2]
3.ツールを用いた攻撃実験
3.1 実験環境
ルータ
192.168.11.1
BUFFALO BBR4HG
図8 攻撃時にwebサーバに接続したとき
攻撃側クライアント
本来のIPアドレス:192.168.11.115
詐称したIPアドレス:123.123.123.123
Ubuntu 12.04
被害者
webサーバ
IPアドレス:192.168.11.2
Lubuntu 14.04LTS/Apache2.4.7
観測者
IPアドレス:192.168.12.3
Windows8
図3 実験環境
・同じLAN上にwebサーバとクライアントを設置,ルータを通して観測用PC設
置し攻撃実験を行った.攻撃者の送信元IPアドレスを123.123.123.123に
詐称をして秒間10パケットで送信し,被害者サーバにてWiresharkを用いて
観測をした.
3.2 Wiresharkによる観測
・通常何も対策していないと攻撃時に正常なクライアントがSYNパ
ケットを送ってもwebサーバは攻撃者からの大量のSYNパケットに
よりリソースが割かれているのでSYN/ACKを返すことができない.
・上記の対策により攻撃時でも返答が来て通信が開始してコンテン
ツをサーバから取得できたことがわかる.
・この設定はアドレスを詐称/非詐称を問わず攻撃をされていても正
常なクライアントは接続することができる.
5.まとめ
・通常ハブを使った環境ではIPアドレスを詐称した場合アドレス解決
できないためSYN/ACKを送らず攻撃にならなかったが,ルータを通
して実験することにより攻撃が成功した.
・SYN Flood攻撃は手軽にサーバをサービス不可能の状態にできる
が攻撃の中では比較的単純なので簡単に防がれてしまった.
参考文献
[1]:hping http://www.hping.org/manpage.html
[2]: oiita http://qiita.com/suin/items/5c4e21fa284497782f71
図4 攻撃時観測されたパケット