DoS攻撃

SYN Flood

過剰な数のSYNパケットによって行われる。

サーバーが 3 Way ハンドシェイクの最終段階を待つことを利用したもので、その結果、OSの最大同時 TCP 接続数を使い果たしてしまい、TCP のサービスにアクセスできなくなる。

SYN Cookieを利用することで、OSレベルで防ぐことができる。

過剰な数の FIN パケットによって行われる。

SYN Flood と攻撃メカニズムは、同じである。

TCPプロトコルのステートフルな性質を利用する。

過剰な数の ACK パケットによって行われる。

サーバーがOSのステートテーブルを検索して既存のTCP接続を探し、合致するものがなければ、パケットを廃棄しなければならない。

サーバのランダムなポートに対して、UDPデータグラムを含むパケットを大量に送信する。

サーバはそのポートで待機しているアプリケーションを繰り返し確認し、アプリケーションが見つからない場合に、ICMPの「Destination Unreachable」パケットで応答する。

このプロセスを大量に処理することによりサーバリソースを消費する。

突然大きなサイズのUDPパケットを大量に送信する。

送信先は大量の処理をするためにリソースを消費する。

事前に多数の端末やサーバに不正にインストールした Bot を使い、ターゲットの Webサーバに大量の HTTP GET リクエストを実行する。

攻撃を受けたWebサーバは大量のHTTP GETコマンドを処理しきれなくなる。

比較的少ないパケット数で長時間に渡りTCPセッションが継続するようにWebサーバのTCPセッションを占有することで、正規のサイト閲覧者がアクセスできないように妨害する。

パケット数が少ないために、FW や UTM での検知・緩和が難しい。

具体的には、HTTPヘッダーを複数個に分割して、少しずつ送るなどといったものが挙げられる。