7月23日 基礎プロジェクトA 2015 2 102 Hping3を用いたアドレス詐称/非詐称SYN Flood攻撃実験 ネットワークコンピューティング研究室 工藤渉 指導教員:小林 浩 教授 1. 研究背景と目的 ・DDoS攻撃や標的型メール攻撃などサイバー攻撃が悪質化・巧妙化してき ている. ・DDoS攻撃の一例としてSYN Flood攻撃を閉じたネットワークで実験する. ・サイバー攻撃とその知識について理解を深める. 2. SYN Flood攻撃とHping3ツールについて SYN Flood攻撃 通常の接続 クライアント Webサーバ クライアント(攻撃者) ・図5ではアドレス詐称した攻撃者と被害者が同一LAN上であれば被 害者側から攻撃者のアドレス解決できないためSYN/ACKパケットは 送ることができず攻撃は成立しない. ・図6ではルータを通すことによってまず被攻撃者サーバはルータに SYN/ACK を送るようになりルータは経路表を基に受信したパケット の宛先IPアドレスを参照し別のネットワークに送信する.サーバは ルータに向けてパケットを送った後の送り先はルータに任せてしま うのでMACアドレスがわからなくてもSYN/ACKを返し続ける. SYN+ACK Webサーバ 図5 同じLAN内での場合のSYN/ACKの動き SYN SYN+ACK ACK 大 量 の リ ソ ー ス を 消 費 ク ラ イ ア ン ト の 情 報 を 保 持 SYN+ACK 外部のネット ワークへ 図6 ルータを通してのSYN/ACKの動き 4.攻撃の対策について iptablesを使った対策の設定 ‣SYN Flood攻撃の対策は様々なものがあるが今回はiptables(Linux のファイアウォール)を使って対策をした. ・webサーバ上で図7のように設定し再度攻撃をして観測者用のPC でwebサーバに接続をした. ・図7のルールは同一IPから1秒間に1回だけ接続に制限しそれ以上 の接続は破棄する. 3ウェイハンドシェイ ク 図1 通常のTCP接続 図2 SYN Flood攻撃 ・SYN Flood攻撃とは,接続要求のSYNパケットを送った後サーバ側から 返ってくるSYN/ACKパケットにACKパケットを返さないことで半オープン 状態にさせ,サーバ側のリソースを消費させこれを大量に行うことで正常 , なクライアントの接続を妨害しサービス不可能な状態にする攻撃である. ・SYN Flood攻撃はアドレスを詐称した場合と非詐称の場合と2つに分け られる.アドレスを詐称した場合は攻撃者にSYN/ACKは返ってこない. ・攻撃ツールは「Hping3」 [1]を用いた.様々なパケットを作ることができ, さらに送信元IPを偽装することや,パケットの送信速度を変えられる. 図7 iptablesの設定[2] 3.ツールを用いた攻撃実験 3.1 実験環境 ルータ 192.168.11.1 BUFFALO BBR4HG 図8 攻撃時にwebサーバに接続したとき 攻撃側クライアント 本来のIPアドレス:192.168.11.115 詐称したIPアドレス:123.123.123.123 Ubuntu 12.04 被害者 webサーバ IPアドレス:192.168.11.2 Lubuntu 14.04LTS/Apache2.4.7 観測者 IPアドレス:192.168.12.3 Windows8 図3 実験環境 ・同じLAN上にwebサーバとクライアントを設置,ルータを通して観測用PC設 置し攻撃実験を行った.攻撃者の送信元IPアドレスを123.123.123.123に 詐称をして秒間10パケットで送信し,被害者サーバにてWiresharkを用いて 観測をした. 3.2 Wiresharkによる観測 ・通常何も対策していないと攻撃時に正常なクライアントがSYNパ ケットを送ってもwebサーバは攻撃者からの大量のSYNパケットに よりリソースが割かれているのでSYN/ACKを返すことができない. ・上記の対策により攻撃時でも返答が来て通信が開始してコンテン ツをサーバから取得できたことがわかる. ・この設定はアドレスを詐称/非詐称を問わず攻撃をされていても正 常なクライアントは接続することができる. 5.まとめ ・通常ハブを使った環境ではIPアドレスを詐称した場合アドレス解決 できないためSYN/ACKを送らず攻撃にならなかったが,ルータを通 して実験することにより攻撃が成功した. ・SYN Flood攻撃は手軽にサーバをサービス不可能の状態にできる が攻撃の中では比較的単純なので簡単に防がれてしまった. 参考文献 [1]:hping http://www.hping.org/manpage.html [2]: oiita http://qiita.com/suin/items/5c4e21fa284497782f71 図4 攻撃時観測されたパケット
© Copyright 2024 ExpyDoc