知識・雑学: Shoot Me!
★事件
3/1に2ちゃんが1日半にわたって落ちた事件は、ここ数年ずっと深刻な被害を受けたことのなかった2chに少なくない衝撃を与えた。午後1時までは、ねらーの誰もが、今回の攻撃も、いつも通り失敗に終わるだろうと思っていた。韓国人に用意されているのは、勝利の美酒とは程遠い、ささやかなバーボンハウスのはずだった。
だが、現実にはそうならなかった。サイバーテロの結果、すべてのサーバが落ちるはめになった。さらに、ネットワークスペシャリストは対応を間違えた。PIEが同日午後5時に鯖を復旧させた直後、サーバひとつが物理的に全損するほどの大損害を蒙った。関係者はわけも分からないまま、2回目の長い長い鯖落ちに陥ることになり、数多の2chまとめサイトは同じ鯖落ち記事で溢れることになった。
どうし� �、今までと違う結末になったのだろうか。今までと違ったのは、攻撃側が「DNS amp」と呼ばれる攻撃方法を大きく取り入れたことにある。
★鯖潰しの手法
DNS ampとは何か。それを説明する前に、従来からひろく用いられてきた攻撃法、通称「F5アタック」について説明する。
キーボードのF5(ファンクション5キー)には、ブラウザの更新機能が割り当てられている。このことから、攻撃対象のサイトを何度も何度も読み込んで、相手のサーバに負荷をかける攻撃を、F5アタックと呼ぶ。
ニュートンフォールズオハイオ州のアパート
この手法は、ハッカー、クラッカーという言葉が出来た時代には既に「スマートじゃない方法」と言われるほど、よく知られた手法だった。スマートじゃないと言われた理由は、この方法での攻撃には、当時は、テレホタイムでも使わない限り、恐ろしく多額の通信費を必要としたためである。
ところが、定額通信が広がるに従い、誰でもできる敷居の低い攻撃法として広がりを見せた。攻撃内容が、公開されている情報を公開されている通りに読み込むだけなので、他の多くの攻撃法と異なり、よほどのことがない限り不正アクセスと断定しづらいことも、ネット上でこの攻撃法が氾濫している理由のひとつである。
現在ではツール(tashiro-canonが有名だね)が用いられることが多いが、基本は同じである。要するに、これらの攻撃法は、攻撃対象のサーバにデータを要求して、負荷をかけるという方法を取る。
いたずら電話をひたすらかけるようなイメージだ。
古い攻撃法だけも対策もいろいろある。着拒がかなりの程度有効だし、ようは末端のサーバに負荷がかかっているので、最悪、そいつだけネットから切り離してしまえば、敵は攻撃対象を失う。それから、ゆっくり通信状況を眺めつつ対策を練り、過剰なアクセスを抑えるめどが立ったら再開すればよいので、対応する側としては、通常の過負荷状態と似た手順で対処でき、やりやすい。
★DNS amp
これに対し、DNS ampの手法は大きく異なる。
これはDNSサーバの脆弱性を利用した攻撃法だ。DNSはインターネットの土台である。DNSサーバとは、非常に単純化して言うと、www.XXXXX.co.jpといった形のアドレスと、データの入ったPCやサーバのIPアドレスを関連付けているサーバで、他のサーバやPCに「このアドレスのデータどこにあるか知らない?」と聞かれたら、知ってれば教え、知らなければ、他の知ってそうなDNSサーバ(経路)を教える仕事をしている。経路は、ドメイン(=DNS名)をたどることで行われる。詳しくはここを見るか、ググれ。
お金借りて家を作る方法
当たり前のことだが、普通は、データのありかが書かれたメモは、聞いた奴に渡される。しかしDNS ampでは「聞いたのはあいつだよ」と、攻撃相手を指差す。DNSサーバをだまして、DNSサーバから攻撃相手にメモを渡させるのだ。メモと言ったが、少なければ数バイトで済むそのメモは、聞き方次第で、最大4000バイトのちょっとした報告書にすることができる。数行の要求で、4KBものトラフィックを送りつけることができることから、アンプ=増幅機の名が付いた。
2ちゃんでUDPと呼ばれてるのが、この4KBの報告書である。データの送り方にはTCPとUDPがあって、TCPは相手が「受信するよー」と言ってから送る送り方だが、UDPでは、相手の返事を待たずにバンバカ送りつけることが可能である。例えるなら、小包と手紙だ。小包ならどんなに大きくても受け取らなければそれまでだが、手紙は勝手に郵便受けに放り込まれる。いらないDMでも、数が多ければ、確認して捨てるだけで大変な手間だ。
クラッカーがこれで攻撃を行う時は、実際には、多数の踏み台を用意して、1台あたり何台ものDNSサーバに要求を行い、それらが一斉に攻撃対象に回答する。
レポート用紙数枚の報告書でも、1秒に何万件と放り込まれたら、どれほど大きな郵便受けも1分と持たないであろう。家人が気付いて、門前は封筒で埋もれ、道路いっぱいに配達バイクがひしめいて、近所中の交通を遮断している、という状態になる。封筒の山は次のゴミの日まで、近所の評判は引っ越すまで、解決しない問題となるだろう。
F5アタックがこちらにデータを要求して負荷をかけるのに対し、DNSampは、データを無理やり送りつけて帯域を埋め尽くす。
また、踏み台PCの指揮に使うbotと、それをばら撒いて感染させる手法は、ネトゲビジネスで鍛えられた中韓が今のところ質・量ともに最強を誇っており、日本や欧米にも韓国人ハカーのbotに汚染されたPCが多数あるのは疑いないところである。「krのアクセスを遮断すればいい」というのは、10年前の話だ。
威力はご覧の通り。
"谷滝ロードアイランド州の不動産エージェント"
ちなみに、この攻撃法は欧米で2005年末くらいから使われだしたものらしいが、韓国よりは日本のほうが使い始めたのは先である。てか、vipperが韓国に向けて使ったのを韓国が鹵獲したんだと思う。具体的には、友愛砲とか呼ばれてるアレ。
スレでも指摘されてたけど、機密保持もクソもないよね。鹵獲してくださいと言ってるようなもんだ。あと、あの攻撃に加わって「送信UDPサイズ7000はやりすぎたかw」とか言ってたバカはしね。有効なのは4000までだ。
★攻撃
で、あわれ2chのサーバたちは陥落したと、そういうわけである。
5万人やら10万人で手動F5アタックしたのが原因とかなんとか、そんな報道もあったが、そんなんで落ちるなら2chはとっくに焦土と化しとる。あほか。もちろん、浅手がたくさんあればどこが致命傷か分かりづらくなるので(げんにPIEは、1日17時時点で問題は解決したと思って復旧させた)、奴らも貢献はしてるわけだが、主原因ではないよね。
★FBIが怒るまで
この攻撃法では帯域を埋め尽くしてダメージを与えるので、遠くからの攻撃は、いったんかなり上位のノードまで(外国からだったら国ごとのノードまで)さかのぼった後、攻撃対象まで下っていくという経路をとる。そうすると、そこへたどり着く前に思わぬ所がボトルネックになってて詰まる、といったことがまれによくある。
今回の件では、PIEの中で、2chとは別のサーバにFRBが入ってたかのような報道がなされてるが、PIEも説明している通り、そうではない。自称わかりやすい図が転がってたので転載。
462 名前: 日出づる処の名無し [sage] 投稿日:
2010/03/03(水) 18:11:07
これはわかりやすい
ぞっとするほどわかりやすい図
上位ノード ←A経路なのでダメージ
│ │
│ ├ 他所のサーバ群 ←B巻き添え。激怒
│ │ ├ A
│ │ └ B
│ │
│ ├ PIEのサーバ群 ←B巻き添え。激怒
│ │ ├ 2chのサーバ群 ←@攻撃目標
│ │ │ ├ tsushima
│ │ │ └ 他
│ │ │
│ │ └ 他社のサーバ群←B巻き添え。激怒
│ │ │
│ │ ├ a米軍がレンタルしていた
│ │ │ サーバ ★
│ │ └ b FRBサンフランシスコ
│ │ 連邦準備銀行が借りて
│ │ いたサーバ ★
│ (略)
│
別の上位ノード
@を攻撃するために
Aにもダメージ
結果Bも全部ダメージ
関係者激怒
どのくらいのレベルのドメインがボトルネックになったのかは知らないが、1日止まって2億円では、それほど上流のドメインではないであろう。その中に米軍もFRBも入ってたというのは、ご愁傷様というほかない。諦めて謝罪と賠償を奉納するんですな。
あと、意外と見落とされてる理由として、botによって国内のサーバが外国人に乗っ取られ、遠隔操作されてることに対する危機感もあると思う。戦争おっぱじまった時に、国内の掃除からはじめなきゃいけないのは大変だからね。
それにつけても、うちの国は防衛意識低いよなあ。敵国と繋がった海底ケーブル切ればいいじゃん、なんて思ってなきゃいいけど。
★対策
米政府機関と近いドメインの鯖を使ってるかぎり、二度と同じこと無い気がするなぁ。頭いい連中ほど真っ先に逃げるだろうし。まあ、これで一人も逮捕されないなら話は別ですが。
他はまあ、複数のドメインから2chにアクセスできるようにして、片方潰れても大丈夫にするとかかね。まあ、そこらへんは中の人がなんとかすることですな。
え?攻撃を防ぐ方法はないのかって?あるとも。踏み台野郎を粛清しろ。
[参考文献]
・分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?(デジタルアドバンテージ 打越 浩幸 2006/08/26)
[六四]←貼るとこの記事が中国から見えなくなる魔法の言葉
0 コメント:
コメントを投稿