SYNフラッド攻撃をご存知ですか?まず、サイバー攻撃には、大量のデータや不正なデータを送りつけることで、標的となる機器やネットワークなどを機能不全に陥らせる「DoS攻撃」があります。
今回はこのDoS攻撃の中の一つである「SYNフラッド攻撃(SYN flooding attack)」について、攻撃方法の仕組み、対策方法についてご説明します。
SYNフラッド攻撃(SYN flooding attack )とは、TCPの特性を悪用したサイバー攻撃です。
TCPとは、インターネットなどのネットワークで標準的に用いられる、IP(Internet Protocol)の一段階上位層(トランスポート層)のプロトコル(通信規約)のひとつです。
SYNフラッド攻撃は、このTCP接続を悪用し、サーバへ負荷を与えることでシステムをダウンさせ、WebサイトやWebサービスを停止させます。
TCPがセッションを確立するには、「3ウェイ・ハンドシェイク」とよばれる3段階のプロセスがあります。
<3ウェイ・ハンドシェイク>
1.クライアント(ユーザー)からSYNパケットが送信される
2.SYNパケットを受け取ったサーバは、SYN/ACKパケットをクライアント(ユーザー)に返す
3.SYN/ACKパケットを受け取ったクライアント(ユーザー)は、接続開始をあらわすACKパケットを送信し、サーバとの通信を開始する
クライアントとサーバが接続するには、この3段階を経ることが確立する条件となります。
SYNフラッド攻撃は、悪意のある第三者が上記のプロセス上で「1.クライアント(ユーザー)からSYNパケットを送信」でサーバに大量のSYN パケットを送信した後、「2.サーバは、SYN/ACKパケットをクライアント(ユーザー)に返す」でサーバから返された SYN/ACKパケットを無視し、そのまま放置することでサーバ側を待機状態にさせてシステムのリソースを奪い新しく接続ができないようにします。
最悪の場合、システムが壊れてしまうこともあります。
SYNフラッド攻撃は送信元の偽装が容易であり、存在しない送信元を指定することもできます。
SYNフラッド攻撃の最も恐ろしい点として、パケットを送信しているクライアント・ユーザー側に悪意があるかどうかの判断が難しいことがあります。複数の送信元からのアクセスがあることを一概に攻撃と判断するのは難しいでしょう。
SYNフラッド攻撃の成功、すなわち悪意のある第三者の狙いは、複数のデバイスから継続的に攻撃することでサーバのリソースを奪い、システムをダウンさせたり、ユーザーがWebサイトに接続できないようにすることです。
Webサーバ・Webサービスが停止すると、サービスの信頼失う可能性があります。また、ECサイトなどでは、サービス停止は売上の減少に直結する被害となります。
SYNフラッド攻撃は対策が難しい攻撃とされていましたが、昨今ではサーバ側での対策も進んでいます。
どのような対策方法があるのでしょうか。また、対策をした上で考えるべきことには何があるのか見ておきましょう。
SYNフラッド攻撃に対する防御機能を備えているOSもあるため、機能が有効化されているのかを確認することや、ソフトウェアを導入することで見直せないかをチェックしましょう。
また、NIDS、ネットワーク上の不正侵入の検知や監視を行ってくれるサービスなどの利用を検討するのも効果的です。
リソースが足りなくなるのであれば物理的にサーバの処理能力の向上や通信の許容量、回線の増強で一定の対策は可能です。
設定の変更により正規のユーザーに対する利便性が損なわれる可能性があるため、設定値には十分な考慮が必要となりますが、システムの設定面でSYNフラッド攻撃に対してタイムアウトを短くしたり、3ウェイ・ハンドシェイクのタイムアウトを短くするなどの対策方法もあります。
外部サービスのNIDSの利用ではなく、Webサービス提供者として、アクセスやトラフィックを監視できるシステムの導入も検討しましょう。
SYNフラッド攻撃について、そして起こりうる被害や対策についてお話しました。サイバー攻撃によるWebサービスの停止は、売上の減少・信用の失墜につながる問題です。Webサービスを停止させないためにも、自社セキュリティの対策状況を見直してみてはいかがでしょうか。
SYNフラッド攻撃 は DDoS 攻撃としても使われるので、DDoS 攻撃に対応している WAF の導入がおすすめです。
WAFには様々な製品がありますが、その中でもクラウド型WAFに分類される製品であれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する際には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/1/19 執筆、2020/10/08修正・加筆)
この記事と一緒に読まれています
2018.03.18
セキュリティ対策
2020.03.07
用語集
2019.10.24
セキュリティ対策
Webサイトの閲覧ができない!DoS攻撃、DDoS攻撃とは?
2020.10.08
セキュリティ対策
2019.03.20
セキュリティ対策