パスワードを忘れた? アカウント作成
5024 story

DDoS攻撃は元から断たなきゃダメ 30

ストーリー by GetSet
副作用が心配かも 部門より

ncube2曰く、"ネットワークセキュリティ製品の中にはDDoS攻撃防御を謳ったものがあるが、NTTのニュースリリースによると、同社の研究所ではDDoS攻撃を検知したら発信元に近いノードで遮断するように、ネットワークを溯ってバケツリレーで指令を飛ばすMoving Firewallなるものを試作したそうだ。間もなく実ネットワークで検証すると言う。
この手のシステムは広く採用して貰わないと効果が期待できないわけで、完成のアカツキにはドドーンとタダで公開してくれるよね > NTT
ところで教えてネットワークの偉い人。DDoS攻撃が複数ノードから行なわれたら、これ自身がワームになりやしないの?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 問題となるパケットを送りつけるホストが見つかると、
    そのホストからのパケットは中継しないように
    ネットワーク上のすべてのFireWall/ルータの設定が変更されるということは、
    Moving FireWall間で 設定が送受信されているはずです。

    ということは、Moving FireWall自身に
    偽の設定をバシバシ送りつける DoS アタックが可能だと思います。

    また、 嘘の設定情報を流すことができれば
    特定のホストをインターネットから孤立させることはもちろん、
    嘘の情報が Moving FireWall 間で次々と交換されて…
    大丈夫なのでしょうか?
    • >ということは、Moving FireWall自身に
      >偽の設定をバシバシ送りつける DoS アタックが可能だと
      >思います。

       多分ウソの情報が流れないようにIPsecなり
      なんなりで暗号化と認証がなされるのだと
      思いますけど、それはそれで重そうですね。

       Moving Firewallとやらが侵入されて
      いいようにウソのFirewall情報を送り
      始めるという可能性もありますか...

      #原理的には楽しそうだが、実際のNWでやるのは勘弁
      親コメント
      • ということは、Moving FireWall自身に偽の設定をバシバシ送りつける DoS アタックが可能だと思います。
        多分ウソの情報が流れないようにIPsecなりなんなりで暗号化と認証がなされるのだと思いますけど、それはそれで重そうですね。

        IPsec の処理が重いってよりは、攻撃者が IPsec の鍵交換でデタラメな鍵を送り続けると DoS 攻撃になりえるんじゃないかって方が心配かな。

        親コメント
    • by Anonymous Coward on 2003年02月19日 1時15分 (#262246)
      IPアドレスをスプーフィングするような事があっても、
      それがインタフェースレベルでどこから来るかはルータでわかるので、
      そのインタフェースに接続しているルータへ移動して、さらにその
      下流のルータへと移動することを繰り返していけば最終的には
      発信源に近いところにたどり着くのではないかと思うのだが
      いかがだろうか?

      今までの防御は偽装が簡単なIPアドレス等の論理情報で防ぐしか
      なかったが、ルータと協働すれば物理層、データリンク層まで
      追跡性を確保することができるんじゃないかな?

      この手の技術は今後、VoIPに移行していく時に、ワン切りの異常な
      量の発呼を抑制するにも使えるでしょうね。
      親コメント
    • ...と思ったけど、偽の設定をバシバシ送りつけてくる
      ことをDoSアタックと理解してMoving Firewallがそのホスト
      を隔離することで解決??

      #どうやってDoSアタックを理解するかはしらないけど。
      親コメント
    • by Anonymous Coward on 2003年02月18日 21時28分 (#262059)
      NTTは基本的にはユーザが使うネットワーク側からこれらの機器を 直接制御できるようにはしないはず。おそらく制御用のデータの 交換などはユーザ側のネットワークとは独立な管理用ネットワーク で行うのでしょう。

      それはそれでスケーラビリティやコストなどの問題がありますが どちらが良いかは適用次第でしょうか。
      親コメント
    • ソースをあたってないので技術的一般論かつ理想論かもしれませんが、

      この技術が基幹ルータ群に適用されているとして、
      攻撃元を次々と見つけていくことで少なくとも基幹部内のトラフィックは
      正常な状態に保てるのではないかと。
      その基幹部が十分に広ければ孤立することもないわけです。

      偽の設定情報に関しては、
      隣のルータからの情報だけを信用するようにしておけば、
      設定情報を無条件に中継しないことで対策できると思います。
      基幹外部からは設定情報が来ないことを前提にできるので。
      基幹の中の1ルータが攻撃元ならだめだけど、
      本当に攻撃行為があるのかを自己分析した上で設定情報を再送出するといいかも。

      もっとも肝心なのが実行される防御行動の質でしょうね。
      この技術の適用されない攻撃元ルータからのパケットをすべて落とすのか
      フィルタリングのようなことをするのかでは大きく違うと思います。
      あとは処理速度かな?
      親コメント
  • というか (スコア:3, 参考になる)

    by Anonymous Coward on 2003年02月18日 18時43分 (#261930)
    実装次第ですが、至る所から発信されると遮断しまくって自らDoS状態になって自滅というのはあり得る話かと。
    Linuxや*BSDで動く未使用ポートをつつかれると動作してアクションを決められるセキュリティソフト"PortSentry"なんかはそういう状態になるので、動的にフィルタを追加する場合は注意するようREADMEに書いてありました。
    • by Anonymous Coward
      その通りですな。
      と言うか、この手の「バケツリレー」はRIPで懲りたんじゃないかと小一時間(ry
  • by toguma (8579) on 2003年02月18日 19時45分 (#261974) 日記
    この MovingFW をインストールしたサーバ/ルータを、インターネット上のできるだけ多くの場所で使わないと意味がないんですよね?

    たとえば、ある ISP(仮に A とします)が MovingFW を使っていて、それである日 DDoS を受けたとします。
    すると MovingFW が攻撃を受けていることを検出します。
    このとき、攻撃パケットは ISP B の方から送られてきているようだ、とわかったとします。
    すると、ISP A の MovingFW 上の"攻撃されている"という情報が、ISP B の MovingFW 上に"移動"するわけですよね?
    その情報を受け取った ISP B の MovingFW が、そこからさらに攻撃元を突き止めつつ、ISP A の方には攻撃パケットを流さないようにする、と。
    そうすることで、ISP A の方ではとりあえず攻撃は回避できましためでたしめでたし、ということですよね?

    同様に ISP B からも攻撃パケットが送られてくる方に近づいて行きながら遮断する。という仕組みがうまい具合に成り立つならば、結構使えるんじゃないかと思いました。

    でも、このとき、ISP B のサーバに MovingFW がインストールされていなかったら、ISP A の MovingFW からは移動できないわけですよね?

    それだと意味がないわけで、今後開発される OS には標準機能として MovingFW がある、ってくらいにならないと役に立たないのかな。
    とか思ってみたりしました。
    • by Anonymous Coward on 2003年02月18日 20時06分 (#261987)
      意味が無いという事は無いと思いますよ。
      使う相手が増えれば増えるほど効果は増しますが、小数であってもそれなりの効果はある。
      ISP一社だけで採用したとしても、バックボーンに無駄なパケットを流さずに済めば、それなりに意味はあります。
      他ISPも導入してくれればバックボーンだけじゃなくてIXでの帯域浪費も防げるというメリットはありますが。
      親コメント
      • by Anonymous Coward on 2003年02月18日 20時37分 (#262011)
        MovinFWを実装したISP > 実装していないISP
        という図式でなければ意味が無いですよね。

        MovinFWを実装したISP < 実装していないISP
        だと、ただの自閉症モードです。
        いいだしっぺに、「自分は大勢側である」という自信があることが、この技術の大前提だと思います。
        親コメント
        • by Anonymous Coward on 2003年02月18日 23時02分 (#262139)
          > だと、ただの自閉症モードです。

          仮に自閉症モードだとしても、MovingFWを実装したISPなら、
          そのISPの顧客は外部からのDoSなりを受けなくなるわけだから、
          それはそれで意味があるのでは?

          ネット全体から見りゃそりゃ完全ではないでしょうが。
          親コメント
    • by parsley (5772) on 2003年02月18日 21時12分 (#262045) 日記
      ぶら下げる場所に悩みながら…
      これを採用して、設定するポリシーって難しそうですね。どのようにきめ細かく設定するのかがまだわかりませんが(てか実験を通じてだんだん洗練されていくんでしょうが)、host全体の通信が止まるようなことでは、ISPとしては使えない。納得できる線をみつけるのが面倒だったら、採用したくない。
      新技術って、難しければ難しいほど、その技術を持った人が潤う傾向があるけれど、どの辺が落としどころでしょうか?Port番号ぐらいで簡単にわかるような単純な攻撃を「攻撃側が」しなくなる、ぐらいの効果はあるんでしょうが。
      --
      Copyright (c) 2001-2014 Parsley, All rights reserved.
      親コメント
    • by null (224) on 2003年02月18日 23時33分 (#262159)
      > 今後開発される OS には標準機能

      今後開発される IOS と JUNOS にはいってれば, それで十分かも :-)
      サーバとかに入れるのであれば必要に応じて管理者がいれればいいわけなので, ルータの OS にはいれば影響力は大きいと思いますが…。

      # プロトコル標準化への動きはあるのかな?
      親コメント
  • by chocopa (14067) on 2003年02月18日 18時49分 (#261935)
    この実装を応用した標的を隔離してしまう
    アナフィラキシーショック攻撃とか
    新技が生まれたりして。
  • これ自身が新手のワームになったりしないか、とも思えなくはない。が。
  • 単純に注目度が高く、アクセス集中した時もクライアントがネットワーク自体から遮断されちゃうのでしょうか。
    3DMark'03の時はほとんどのサーバが過負荷になり、やむを得ずファイルを消しちゃったところもあるような。
    --
    # rm -rf ./.
  • 実用的ではないですね。まるで ラエリアン? みたいだ。
    • >人の足を斬って己れの足に接ぐべからず、人の愚を説くも己れの賢を増すことなし。

      最近ようやく分かってきたのだが、このシグネチャは
      「私のコメントにレスする人はバカですよ」
      って意味なんですね...

      #バカなのでAC
  • by tu_n (13924) on 2003年02月19日 11時07分 (#262408)
    読売新聞曰く。
    「NTTは18日、コンピューターウイルスによるネットワークへの攻撃に対して、攻撃元近くまで攻め上がって防御するシステムを開発したと発表した。」http://newsflash.nifty.com/news/te/te__yomiuri_20030218i211.htm

    ウイルスというかなんというか非常に語弊があるように思われ。やっぱしこの程度の認識なのか。
    • だって、当のNTTがそう説明してる [ntt.co.jp]じゃん。ネタ元を確認してる?
      • by tu_n (13924) on 2003年02月19日 17時03分 (#262609)
        ん? 御指摘ありがとう。

        ------------------------
        *1:DDoS攻撃 (Distributed Denial of Service)
            ウィルスなどを使って乗っ取った多数のコンピュータを踏み台として、標的とするコンピュータに大量のパケットを送りつけて、サービスを停止させてしまう攻撃。
        ------------------------

        たぶん、ここのことを言っているのだと思うけど。

        ・コンピューターウイルスによるネットワークへの攻撃
        ・DDoS攻撃

        このふたつは100%イコールじゃあ結べないでしょう?
        たぶんわかりやすく書いてあるつもりなんだろうけど結局は誤解の元。
        ちゃんとDDoS攻撃対策って書いてあるところもあるんだし。

        他にも
        「ネットワークの入り口でウイルスを防ぐ従来のシステムと異なり」
        とか書いてあるし・・・・・・だから認識が低いなぁ、と思ったわけ。
        親コメント
  • by Anonymous Coward on 2003年02月18日 23時03分 (#262140)
    ネットワークを遡っていく辺りだいぶ積極性が出てきてるみたいですが、
    ゆくゆくは攻撃者を特定して、反撃しちゃったりしないのかな?
    ワクワク

    #神経焼かれないように気をつけなくっちゃ♪
  • by Anonymous Coward on 2003年02月19日 13時01分 (#262456)
    制御信号がDDOSには成らないでしょう
    DDOSを関知した時点で、このFireWallは
    その端末からのパケットを捨てるだろうし、
    そこに近い同じFirewallに停止連絡を送るわけだが、
    そのFirewallは事前に認証されたものだろうし、
    受けた時点で、そのFirwallもパケットを捨て出すわけだから
    それでも、送られてくるようなら相手のFirewallが
    のっとられたと判断して遮断するのかねぇ。
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...