複数のDDoS対策ベンダーによると、NTPベースの分散型サービス妨害攻撃が2014年の最初の数カ月で劇的に増加したとのことです。しかし、別のレポートによると、SYNフラッディング攻撃は企業にとってさらに大きな被害となっています。
Incapsulaで保護されたサイトでは、2月に大量のNTP DDoS攻撃が発生し、この期間に発生した大規模なSYNフラッディング攻撃を上回りました。Incapsulaは、この傾向を文書化するためにレポートを拡張しました。全体として、NTPベースの攻撃は、同社がクライアントのWebサイトで検出したすべてのWeb DDoS攻撃の15%を占めています。
Prolexic社では、2月だけで同社の顧客に対するこのような攻撃が371%急増しました。
ネットワーク・タイム・プロトコルは、コンピューター・ネットワーク間の時刻同期に使用されるインターネット標準であり、DDoS攻撃の増幅に使用できるため、攻撃者にとって魅力的なターゲットとなっています。クライアント・システムはNTPサーバーにpingを送信して時刻要求の変更を開始し、通常は10分ごとに同期が行われます。
DDoS対策プロバイダーであるCloudFlareのJohn Graham-Cumming氏は、1月に発表したブログ記事で、NTPサーバーからクライアントに送り返されるパケットは、最初のリクエストの数百倍になる可能性があると述べています。これに比べ、増幅攻撃で一般的に使用されるDNSレスポンスは、帯域幅がわずか8倍に制限されています。
NTP DDoS攻撃:一過性のものか、それとも今後も続くのか?
NTPは新しいプロトコルではないのに、なぜ今これほど注目されているのでしょうか?
Incapsula社の製品プロモーターであるIgal Zeifman氏は、DDoS攻撃におけるNTPの利用を「一瞬の出来事」と表現しています。
この問題は、US-CERT が CVE-2013-5211 を使用した NTP 増幅攻撃に関する警告を発表した 1 月中旬にさかのぼります。これにより、NTPサーバーは攻撃者に潜在的な被害者のリスト、つまりサーバーに接続されている直近の600のIPアドレスを送信します。
CloudFlareインシデントの数日後、Arbor Networksはピークレート325GbpsのNTP増幅攻撃を観測したことを確認しました。
NTPを利用する攻撃者が増える可能性はあるものの、DDoS対策を導入している組織がパニックに陥る必要はない一方、大規模なDDoS攻撃に対応するサードパーティ・ベンダーを採用していない組織は、このような攻撃に注意する必要があるとZeifman氏は述べています。
「大量のNTPトラフィックは非常に疑わしいもので、無視することも簡単です。
Zeifman氏によると、SYNパケットはネットワーク上でより一般的なものであるため、組織は典型的なSYNフラッド攻撃をより心配する必要があるとのことです。専門のDDoS防御サービス・プロバイダーでさえ、悪意のあるトラフィックと正当なトラフィックを区別するのは非常に困難です。
同氏は、SYNフラッディング攻撃が依然として最も広く使用されているDDoS手法であると指摘しました。Incapsulaのレポートでは、通常の大規模SYNフラッド攻撃がネットワークDDoS攻撃全体の半分を占め、ピークレートが20Gbps以上の大規模SYNフラッド攻撃がDDoS攻撃全体の半分以上を占めています。
さらに憂慮すべきことに、このレポートによると、DDoS攻撃の5件中4件が少なくとも2つのテクニックを使用しており、通常の攻撃と大規模なSYNフラッディング攻撃を合わせると、これらのマルチベクトルDDoS攻撃の75パーセントを占めています。
通常のSYNフラッド攻撃は、このように実行されます。攻撃者は、IPアドレスを偽装して大量のSYNパケットをサーバーに送信し、対応するACK応答が返送されないようにしてTCPの3回のハンドシェイクを完了させます。
一方、大量のSYNフラッディング攻撃は、大量のトラフィックでネットワークパイプを詰まらせることに重点を置いています。この2つのテクニックを組み合わせることで、攻撃者はあらゆる拠点をカバーすることができます。
「DDoS攻撃を家屋への侵入に例えるなら、その手口は玄関ドアと横の窓から同時に侵入しようとするようなものです」とZeifman氏。
