BlackNurse DDoS攻撃:予測不可能なDDoS攻撃に効果的なFortiDDoSの詳細なパケットインスペクション

どの領域でも、犯罪者は予測不可能な側面を持っていることは、よく知られています。犯罪者は、システムの欠陥や脆弱性を探して自らの利益となるように利用しようとします。したがって、セキュリティシステムの設計では、攻撃が予測不可能であることを前提としている必要があります。

BlackNurse DDoS攻撃は、新しく登場してきた脅威の1つです。フォーティネットはこの脅威に対して、IPSシグネチャBlackNurse.ICMP.Type.3.Code.3.Flood.DoSを使用するコンテンツベースの保護機能、およびFortiDDoSテクノロジーのビヘイビアベースの保護機能を提供して組織を保護します。FortiDDoSを導入することで、このような予測不可能な攻撃を簡単に阻止できるので、セキュリティ管理者があらかじめ知識を得たり計画したりする必要がありません。デバイス、そして提案されたデバイスの実装アプローチにより、シグネチャを使用しなくともこのような攻撃から自動的に保護します。

BlackNurse DDoS攻撃

ICMPは、インターネットで広く使用されているプロトコルです。主として診断情報およびエラーメッセージの報告に使用され、またSSL、VPN、高可用性(HA)環境におけるノード間の接続を確認するためにも使用されます。このプロトコルはタイプとコードを使用することから、実装がTCPとUDPに非常に似ています(インターネット上の2つのエンドポイント間で情報を交換するためにソケットが使用するポートと同様)。タイプは256種類、実行可能なコードは256種類あり、IANAによりそれぞれ異なる目的に割り当てられています。大抵のネットワークエンジニアが知っているICMPプロトコルとしては、次のようなものがあります。

  • タイプ8、コード0:エコー要求(Pingに使用)
  • タイプ0、コード0:エコー応答(Pingに使用)
  • タイプ3、コード0:ネットワーク到達不能
  • タイプ3、コード1:ホスト到達不能
  • タイプ3、コード2:プロトコル到達不能
  • タイプ3、コード3:ポート到達不能


図1:BlackNurse DDoSのロゴ

デンマークのある企業が最近発見した数件のDDoS攻撃は、一部のクライアントに対するICMPトラフィックを利用した小規模のものです。BlackNurseと呼ばれるこの攻撃は、ICMPパケットのタイプ3、コード3を利用するDDoS攻撃であり、一部のネットワーク機器でCPUの処理のオーバーロードを引き起こします。

FortiDDoSと詳細なパケットインスペクション

FortiDDoSアプライアンスは、ハードウェアロジックを使用して、さまざまな観点からパケットインスペクションを実行します。その中には、レイヤー3、4、および7の多くのパラメータも含まれます。たとえば、レイヤー3ではすべてのプロトコルが分類され、レートの測定が行われます。レイヤー4では、FortiDDoSはすべてのTCPポート、UDPポート、ICMPタイプおよびコードのインスペクションをそれぞれの方向について実行し、また各SPP(Service Protection Profile)のインスペクションも実行します。レイヤー7では、HTTPパケットについてURL、ホスト、ユーザーエージェント、リファラーなどのインスペクションを実行します。また、DNSパケットについてはメータリングクエリ、応答、クエリタイプ、応答タイプなどを継続的に監視します。これにより、各パラメータについてベースラインとなる正常レートを判断できます。攻撃は巧妙に仕組まれることもありますが、攻撃パケットに類似性があるとパラメータのいずれかにピークが示されます。このため、ICMPのタイプ3、コード3に突然表れるBlackNurseのような攻撃は、FortiDDoSハードウェアロジックにより自動的に認識され、即座に阻止されます。

FortiDDoSアーキテクチャの主なメリットの1つは、攻撃者がスクリプトをこれらのタイプとコードの別の組み合わせに変更してもスクリプトを阻止できることです。

FortiDDoSにより保護されたネットワークが外部との通信にICMPのタイプ3、コード3を使用していない場合は、ハードウェアACLをICMPのタイプ3、コード3に使用して、トラフィックのパフォーマンスを犠牲にすることなく攻撃の完全なブロックを即座に実行できます。使用されていないプロトコルとサービスに、同様のACLを使用できます。

FortiDDoSのシステム推奨と保護

FortiDDoSは、トラフィックのベースラインの判断を可能にし、また実際のトラフィックに基づいてしきい値を推奨します。これらのあまり使用されないプロトコルおよびサービスでのトラフィックは、通常は非常に小さいことが想定されます。したがって、アプライアンスのシステム推奨セットアップは、これらのあまり使用されないプロトコルについて低いしきい値を保持します。BlackNurseなどの攻撃が実行されると、通常範囲から外れたトラフィックの急増が確認され、自動的に攻撃が阻止されます。

フォーティネットチームは、引き続きDDoSのこの亜種を監視し、その識別と阻止に関するデータが公開された場合は、速やかに追加情報を提供してきます。