SYNフラッド攻撃の対策(SYN flooding attack)

2020.10.08

セキュリティ対策

SYNフラッド攻撃の対策(SYN flooding attack)

SYNフラッド攻撃をご存知ですか?まず、サイバー攻撃には、大量のデータや不正なデータを送りつけることで、標的となる機器やネットワークなどを機能不全に陥らせる「DoS攻撃」があります。
今回はこのDoS攻撃の中の一つである「SYNフラッド攻撃(SYN flooding attack)」について、攻撃方法の仕組み、対策方法についてご説明します。

目次

1.SYNフラッド攻撃とは何か

SYNフラッド攻撃(SYN flooding attack )とは、TCPの特性を悪用したサイバー攻撃です。
TCPとは、インターネットなどのネットワークで標準的に用いられる、IP(Internet Protocol)の一段階上位層(トランスポート層)のプロトコル(通信規約)のひとつです。
SYNフラッド攻撃は、このTCP接続を悪用し、サーバへ負荷を与えることでシステムをダウンさせ、WebサイトやWebサービスを停止させます。

1-1.「3ウェイ・ハンドシェイク」を悪用

TCPがセッションを確立するには、「3ウェイ・ハンドシェイク」とよばれる3段階のプロセスがあります。
 
<3ウェイ・ハンドシェイク>
1.クライアント(ユーザー)からSYNパケットが送信される
2.SYNパケットを受け取ったサーバは、SYN/ACKパケットをクライアント(ユーザー)に返す
3.SYN/ACKパケットを受け取ったクライアント(ユーザー)は、接続開始をあらわすACKパケットを送信し、サーバとの通信を開始する
 

クライアントとサーバが接続するには、この3段階を経ることが確立する条件となります。

 

1-2.ACKパケットを返さないことでリソースを奪う

SYNフラッド攻撃は、悪意のある第三者が上記のプロセス上で「1.クライアント(ユーザー)からSYNパケットを送信」でサーバに大量のSYN パケットを送信した後、「2.サーバは、SYN/ACKパケットをクライアント(ユーザー)に返す」でサーバから返された SYN/ACKパケットを無視し、そのまま放置することでサーバ側を待機状態にさせてシステムのリソースを奪い新しく接続ができないようにします。
最悪の場合、システムが壊れてしまうこともあります。

1-3.送信元の偽装が簡単

SYNフラッド攻撃は送信元の偽装が容易であり、存在しない送信元を指定することもできます。
SYNフラッド攻撃の最も恐ろしい点として、パケットを送信しているクライアント・ユーザー側に悪意があるかどうかの判断が難しいことがあります。複数の送信元からのアクセスがあることを一概に攻撃と判断するのは難しいでしょう。

2.SYNフラッド攻撃により起こり得る被害

SYNフラッド攻撃の成功、すなわち悪意のある第三者の狙いは、複数のデバイスから継続的に攻撃することでサーバのリソースを奪い、システムをダウンさせたり、ユーザーがWebサイトに接続できないようにすることです。
Webサーバ・Webサービスが停止すると、サービスの信頼失う可能性があります。また、ECサイトなどでは、サービス停止は売上の減少に直結する被害となります。

3.SYNフラッド攻撃の対策方法

SYNフラッド攻撃は対策が難しい攻撃とされていましたが、昨今ではサーバ側での対策も進んでいます。
どのような対策方法があるのでしょうか。また、対策をした上で考えるべきことには何があるのか見ておきましょう。

3-1.SYNフラッド攻撃への防御機能のあるOSを利用する

SYNフラッド攻撃に対する防御機能を備えているOSもあるため、機能が有効化されているのかを確認することや、ソフトウェアを導入することで見直せないかをチェックしましょう。
また、NIDS、ネットワーク上の不正侵入の検知や監視を行ってくれるサービスなどの利用を検討するのも効果的です。

3-2.サーバの処理能力や許容量を見直す

リソースが足りなくなるのであれば物理的にサーバの処理能力の向上や通信の許容量、回線の増強で一定の対策は可能です。
設定の変更により正規のユーザーに対する利便性が損なわれる可能性があるため、設定値には十分な考慮が必要となりますが、システムの設定面でSYNフラッド攻撃に対してタイムアウトを短くしたり、3ウェイ・ハンドシェイクのタイムアウトを短くするなどの対策方法もあります。

3-3.外部からのアクセス・トラフィックを監視する

外部サービスのNIDSの利用ではなく、Webサービス提供者として、アクセスやトラフィックを監視できるシステムの導入も検討しましょう。

4.SYNフラッド攻撃まとめ

SYNフラッド攻撃について、そして起こりうる被害や対策についてお話しました。サイバー攻撃によるWebサービスの停止は、売上の減少・信用の失墜につながる問題です。Webサービスを停止させないためにも、自社セキュリティの対策状況を見直してみてはいかがでしょうか。

5.おススメのSYNフラッド攻撃対策

SYNフラッド攻撃 は DDoS 攻撃としても使われるので、DDoS 攻撃に対応している WAF の導入がおすすめです。
WAFには様々な製品がありますが、その中でもクラウド型WAFに分類される製品であれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する際には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 

(2018/1/19 執筆、2020/10/08修正・加筆)

  • 国内商用Webサイトが受けやすいサイバー攻撃とは?|サイバー攻撃の統計データから傾向を読み解く|今すぐ無料で資料をダウンロード
  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード

この記事と一緒に読まれています