先週、インターネットのルートサーバーが集中的な分散型サービス拒否(DDoS)攻撃を受け、インターネットの重要な13の支柱のうち3つが数時間にわたってオフラインになった。
この攻撃は、ジャネット学術ネットワークが同様の DDoS 攻撃を受けるわずか数日前に発生しました。
ルート サーバー オペレーターが火曜日に公開したルート サーバー攻撃の最初の分析によると、攻撃は 2015 年 11 月 30 日の 06:50 から 09:30 UTC の間に発生し、翌日も 1 時間にわたって再度発生しました。
ルートサーバーの多くは、1秒あたり約500万件のクエリを受信しましたが、すべてではありませんでした。これはネットワーク接続をフラッドさせ、B、C、G、Hルートサーバーでタイムアウトを引き起こすのに十分な量でした。これらのクエリは単一のドメイン名に対する有効なDNSメッセージであり、2日目の攻撃では1日目とは異なるドメイン名が使用されました。
最終的に、攻撃の影響を受けた事業者は対抗手段を講じ、ある程度の成功を収めましたが、現在、攻撃がどのような形で行われ、どこから発生したのかを正確に突き止めるための適切な分析が進行中です。
おそらく最も懸念されるのは、このような攻撃に対処するために設計されたAnycastテクノロジーを実装したにもかかわらず、多数のサーバーが依然として過負荷状態になっているという事実です。
ルートサーバー自体は、インターネットのドメインネームシステムの基盤となる柱であり、インターネットの他のすべての部分に対する一種のグローバルディレクトリとして機能します。
インターネットの設計上、サーバー自体のトラフィック量は比較的少なく、特にGoogleのような企業が扱うトラフィック量と比較すると低いです。仮にサーバーがすべてオフラインになったとしても、サーバーが保存・共有する情報は他の何千ものサーバーに保持されているため、インターネット全体に直ちに影響が出ることはありません。
そうは言っても、DNS のインフラストラクチャに対するあらゆる攻撃は非常に深刻に受け止められており、ルート サーバーが 1 日以上ダウンすると、世界的に重大な問題が発生し始めることになります。
RIPEのAtlas監視システムによるグラフは、攻撃の影響を示している。
解決策は何ですか?
ルートサーバー運営者は、このような攻撃を可能にする一つの問題を既に指摘しています。それは、多くのISPがネットワークイングレスフィルタリングを実装していないことです。このフィルタリングは、インターネットトラフィックのスプーフィング能力を制限し、DDoS攻撃の実行を阻害します。しかし、ある分析によると、BCP 38規格の広範な実装により、インターネットトラフィックの82%がスプーフィング不可能になったことが示されています。
F-root サーバーの元運営者であるポール・ヴィクシー氏が提案したもう一つの解決策は、ネットワーク上で攻撃トラフィックの流通を許可したネットワーク運営者に罰則を科す責任モデルを開発することだ。
「クレジットカード、ATMカード、電信送金の世界では、州法と連邦法は不正取引の責任を特定の行為者に明確に突きつけている」とVixie氏は先月の投稿に記した。
「そして、そのような世界では、詐欺防止の本当の責任は他にあると感じていても、関係者は責任から身を守るために必要な投資を何でも行うのです。」
DDoS攻撃にはそのような対策はありません。ボットネットの一部となるデバイスのメーカー、DDoS攻撃の反射・増幅に利用されるオープンサーバーの運営者、そして送信元アドレスの偽造を容認するネットワークの所有者や運営者は、自らの不正行為によって必然的に発生するDDoSトラフィックの嵐によるコストを一切負担していません。
稀な出来事
ルートサーバーが大規模かつ持続的な攻撃の標的となったのは、今回で3度目です。最も深刻なのは2007年に発生したもので、約5,000台のコンピューターからなるボットネットが4台のルートサーバーに大量のトラフィックを流入させ、2度の攻撃波によってそのうち2台が数時間にわたりダウンしました。
この場合、トラフィックの大部分は韓国から発信されたものの、攻撃は米国から制御されていたと考えられています。先週の攻撃の詳細は未だ明らかにされていません。
攻撃者自身は、攻撃の最初の分析において、「送信元アドレスは広く均等に分散しているのに対し、クエリ名はそうではないという点が注目に値する。したがって、このインシデントは、DNSネームサーバー(DNSルートネームサーバーを含む)をリフレクションポイントとして利用し、第三者を圧倒する典型的なDNSアンプ攻撃とは異なる」と述べた。
それにもかかわらず、彼らはシステムが非常に良好に機能したと結論付けました。「DNS ルート ネーム サーバー システムは設計どおりに機能し、多数の DNS ルート ネーム サーバーで観測された大規模なトラフィック フラッドに対して全体的な堅牢性を示しました。」
どうしたの?
2007 年の攻撃や今回の攻撃の動機は特定されていません。
通常、DDoS攻撃は企業から金銭を搾取したり、政治的な主張をするために実行されます。しかし、世界のインターネットの基盤そのものを攻撃することに、明白な政治的主張はありません。ただし、ルートサーバーのうち2つを除くすべてが米国企業によって運営されており、3つは米国政府によって運営されていることは注目に値します。
また、最近の攻撃の継続時間とタイミングが 2007 年の攻撃と非常に似ていることも注目に値します。これは、同じ手口が使われている可能性を示唆している可能性がありますが、ネットワーク オペレータが進行中の攻撃を理解し、緩和するのにかかる時間枠を単に強調しているだけかもしれません。
わずか数日後に、Janet ネットワークという別のありそうもないターゲットが同様の方法で攻撃されたという事実も疑わしいものであり、研究者が調査することになるでしょう。
国家がサイバー戦争に突入するのではないかと長い間懸念されてきた。最も有名な例は、やはり2007年にロシアがエストニアを攻撃し、事実上同国をオフラインにしたケースである。
おそらく偶然だろうが、世界各国政府は来週、ニューヨークの国連に集まり、インターネットガバナンスの問題について議論する。この協議の基盤となる文書には、セキュリティに関するセクションが丸々1つ設けられる。
その文書の一部には、「嫌がらせから犯罪、テロに至るまで、有害な活動にICTが悪用されるケースが増えていることを考えると、ICT(情報通信技術)の利用に対する信頼とセキュリティの構築も優先事項となるべきだ」と記されている。®
