DoS攻撃

SYN Flood

過剰な数のSYNパケットによって行われる。

サーバーが 3 Way ハンドシェイク の最終段階を待つことを利用したもので、その結果、OSの最大同時 TCP 接続数を使い果たしてしまい、TCP のサービスにアクセスできなくなる。

SYN Cookieを利用することで、OSレベルで防ぐことができる。

FIN Flood

過剰な数の FIN パケット によって行われる。

SYN Flood と攻撃メカニズムは、同じである。

ACK Flood

TCPプロトコルのステートフルな性質を利用する。

過剰な数の ACK パケットによって行われる。

サーバーがOSの ステートテーブル を検索して既存のTCP接続を探し、合致するものがなければ、パケットを廃棄しなければならない。

UDP Flood

ランダム・ポート・フラッド攻撃

サーバのランダムなポートに対して 、UDPデータグラム を含むパケットを大量に送信する。

サーバはそのポートで待機しているアプリケーションを繰り返し確認し、アプリケーションが見つからない場合に、ICMPの「Destination Unreachable」パケットで応答する。

このプロセスを大量に処理することにより サーバリソース を消費する。

フラグメント攻撃

突然大きなサイズのUDPパケットを大量に送信する。

送信先は大量の処理をするためにリソースを消費する。

HTTP GET/POST Flood 攻撃

事前に多数の端末やサーバに不正にインストールした Bot を使い、ターゲットの Webサーバ に大量の HTTP GET リクエストを実行する。

攻撃を受けたWebサーバは大量のHTTP GETコマンドを処理しきれなくなる。

Slow HTTP DoS 攻撃

比較的少ないパケット数で長時間に渡りTCPセッションが継続するようにWebサーバのTCPセッションを占有することで、正規のサイト閲覧者がアクセスできないように妨害する。

パケット数が少ないために、FW や UTM での検知・緩和が難しい。

具体的には、HTTPヘッダーを複数個に分割して、少しずつ送るなどといったものが挙げられる。