攻撃は午前0時に始まり、24時間継続して終了しました。以下が、そのトラフィックのグラフです。攻撃は、いわゆるSYN Floodによるもので、TCPの通信開始パケットであるSYNフラグ付きパケットを大量に投げつけ、OSのTCPコネクション処理を飽和させ、ネットワーク接続を阻害することを目的としています。一般に、Webサイトなどへのサービス妨害で広く用いられます。
黒色部分のトラフックは米国リージョンの Amazon AWSに割り当てられたIPアドレスからでした。SYN Floodの場合、使うのはSYNパケットのみで、応答は無視しますから、発信元IPを詐称しても攻撃が可能です。従来は自分の素性を隠すために、ランダムなIPアドレスを詐称して行うことが一般的でしたが、最近、ボットと呼ばれるマルウエアに感染した第三者のコンピュータを遠隔操作して実行することが多くなったためか、相対的に詐称の頻度は下がってきているように思われます。
このため、昨日は特定した複数のIPアドレスについて、AWSに対して不正利用の可能性を通知しました。その結果(と思われますが)、通知後1時間ほどで発信元のアドレスが変わりました。おそらく、AWS側で対応が行われたため、攻撃者が攻撃元を切り替えたものと思われます。切り替わったIPアドレス(青色部分)は、日本国内の複数のプロバイダーもしくは企業に割り当てられたセグメントのもので、おそらくボットに感染したPC等と思われます。
トラフィックそのものは、毎秒5パケットくらいで、小規模なサーバでも大きな影響は受けないレベルでしたが、おそらく相手側は攻撃対象のドメインリストを同時に攻撃していると思われ、パワーが分散した結果と推測されます。従って、こうした攻撃が特定のサーバに集中した場合は、サービスが停止したり、様々な障害が発生する可能性もあります。
攻撃の背景や攻撃者は不明ですが、昨今の政治情勢もあり、それに関連した、もしくは便乗したハクティビストらによるキャンペーンの可能性も危惧されます。今後、こうした攻撃がより大規模になる可能性も否定できないため注意が必要でしょう。
*注:ハクティビストとは、ハッキング(Hacking)とアクティビスト(Activist)を組み合わせた造語で、サイバー攻撃を手段として抗議活動などを行う活動家を意味します。
*追記(8月6日)
AWSから本日付で、不正な通信は確認出来なかったので、Spoofingでは?という回答が届きました。それを前提とすれば、このIPの変化は偶然・・ということになりますが、奇妙な一致です。
0 件のコメント:
コメントを投稿