【図解】SYN flood攻撃の仕組みと対策

こちらの記事では、SYN flood攻撃の仕組みと対策方法について、図を用いながら解説します。

SYN flood攻撃とは、Webサーバーなどをターゲットにし、サービスを妨害する目的として行われるDoS(Denial of Service)攻撃の一つです。TCP SYN floodやSYN flooding attack、SYNフラッド攻撃などと表現されます。

この攻撃では、攻撃者が3ウェイハンドシェイクの最後の確認応答であるACKパケットを送信しないようにし、サーバーを攻撃者からのACKパケット待ち状態にします。こうすることで、サーバーは新たな接続要求を受け付けられなくなります。

このようにして、SYN flood攻撃ではサーバーを大量の応答待ち状態にさせることで、機能低下やOSのダウンにより正常なサービスを提供できなくさせることを目的とします。

TCP 3ウェイハンドシェイクの仕組み

はじめに、SYN flood攻撃を理解する上で大切な、3ウェイハンドシェイクとはどういった内容なのかを理解しましょう。その後、SYN flood攻撃の特徴を説明します。

TCPではデータ通信を行う前に、通信相手との間で通信を始める準備を行います。この準備のことを3ウェイハンドシェイクと呼び、TCPでは最初にコネクション確立要求のSYNパケットを送信する側をクライアント、受信する側をサーバーと呼びます。

はじめに、クライアントがサーバーへコネクション確立要求であるSYNパケットを送信します。

次に、SYNパケットを受け取ったサーバーは、その情報をBacklogキューと呼ばれる領域へ一時的に保存し、受信したSYNパケットに対する確認応答のACKパケットとSYNパケットをクライアントへ送信します。

サーバーからのACK/SYNパケットを受信したクライアントは、サーバーに対してACKパケットを送信します。

クライアントからのACKパケットをサーバーが受信すると、コネクションが確立します。

このように、3ウェイハンドシェイクを行い、コネクションが確立することで通信することができるようになります。

逆に言えば、確認応答が返ってこない場合、通信を開始することができません。

SYN flood攻撃の特徴

SYN flood攻撃の特徴は次の通りです。

• サーバーのハーフオープン状態を狙い、Backlogキューの容量を圧迫させる。
• 多くの場合、IPアドレスを偽装すること(IP Spoofing)で攻撃が行われる。

Backlogキューの容量を圧迫させる

SYN flood攻撃は、OSI参照モデル第4層、トランスポート層のプロトコルであるTCPを利用した攻撃です。TCPではコネクション確立のため、3ウェイハンドシェイクを行います。

OSI参照モデルについては、次の記事をご覧ください。

https://envader.plus/article/38

SYN flood攻撃の目的は、攻撃者がターゲットのサーバーに対しSYNパケットを大量に送り、Backlogの容量を圧迫することで、他の正当なリクエストを拒否させるようにすることです。以下、その流れを詳しく説明します。

はじめに攻撃者は、コネクションの確立要求であるSYNパケットをサーバーへ送信します。

サーバーは攻撃者からSYNパケットを受信すると、Backlogキューへその情報を一時的に保存します。(Backlogキューには情報を保存できる上限がある。)

その後、攻撃者側へ確認応答であるSYN/ACKパケットを送信します。この状態がハーフオープン状態にあたり、コネクションがまだ確立していない状態です。

ここで攻撃者は、IPアドレスの偽装やボットネットなどを使用し、最後のACKパケットを送信しない状況を作り出します。この時点ではコネクションはまだ確立していないため、サーバーは攻撃者からのACKパケットを待ち続けます。

この状態からさらに、攻撃者は新たなSYNパケットをサーバーへ送り続けます。すると、Backlogの容量が圧迫されていき、保存容量の上限値に達します。

Backlogの容量が上限値に達してしまった場合、正当なリクエストが送られてきても、そのリクエストは拒否されてしまいます。

SYN flood攻撃は、このBacklogの容量を溢れさせる(flood)ことで、正規のクライアントとの通信をできなくさせる手法なのです。

RFC4987では、SYN flood攻撃について以下のように記載されていました。以下一部抜粋します。

The SYN flooding attack does not attempt to overload the network's resources or the end host's memory, but merely attempts to exhaust the backlog of half-open connections associated with a port number. SYNフラッディング攻撃は、ネットワークのリソースやエンドホストのメモリに過負荷をかけようとするのではなく、単にポート番号に関連する半開きの接続のバックログを使い果たそうとするものである。

IPアドレスの偽装(IP Spoofing)

攻撃者は多くの場合、ACK/SYNパケットを無視する状況を作り出すため、IPアドレスの偽装を行います。このIPアドレスの偽装のことを、IP Spoofing(スプーフィング)と言います。

IP Spoofingは、IPアドレスをspoof(だます)技術です。

攻撃者からのIPアドレスは偽装されているため、サーバーは攻撃者へパケットを返すのではなく、この偽装されたIPアドレスに対してACK/SYNパケットを送り返してしまうため、最後のACKパケットを受け取ることができず、ACKパケットの待ち状態になってしまうのです。

IP Spoofingを行う方法の一つに、ポートスキャンを行うNmapを使う方法があります。Nmapでは、コマンドオプションを使うことで送信元IPアドレスを変更することができます。

ポートスキャンやNmapについては、別の記事で解説しています。

https://envader.plus/article/89

SYN flood攻撃への対策

SYN flood攻撃を受けてしまい、サーバーのダウンなどにより正常にサービスを提供できなくなってしまえば、その影響は非常に大きいものになるでしょう。SYN flood攻撃への対策として、今回は次の3つを取り上げます。

SYN Cookiesによる対策

Backlogの容量を圧迫させないようにするために用いられるのが、SYN Cookiesです。

通常、3ウェイハンドシェイクではSYNパケットを受け取るとその情報をBacklogへ保存します。SYN Cookiesは、Backlogへ情報を保存しないようにすることで、容量が圧迫されるのを防ぐ手法です。

SYN Cookiesでは、クライアントからSYNパケットを受け取ると、サーバーは受け取った情報をBacklogへは保存せず、その情報をハッシュ化してSYN/ACKパケットのシーケンス番号に埋め込みます。その後、SYN/ACK+ハッシュ値をクライアントへ送ります。

SYN/ACK+ハッシュ値を受け取ったクライアントは、シーケンス番号を流用したACKパケットをサーバーへ返します。

ACKパケットを受け取ったサーバーは、シーケンス番号からハッシュ値を計算し、正しい確認応答であることを確認して、初めてBacklogへ情報を保存します。

こうすることで、データの保存容量を圧迫されることなく、コネクションを確立することができます。

通信する相手が攻撃者の場合、IPアドレスの偽装などにより、SYN/ACK+ハッシュ値の情報をサーバーへ返すことがないため、攻撃者とのやり取りがサーバーへ保存されることはありません。結果、Backlogの容量を無駄に消費することがなくなります。

SYN Cookiesの詳細な説明についても、RFC4987で確認できます。RFCの中で説明されている通り、SYN Cookiesに関する問題点も存在するため、実装する際にはその問題点に対しても検討する必要があるでしょう。

Backlogの容量を増加させる

Backlogには保存できる上限がある、と先ほど紹介しました。容量を圧迫されて正常なリクエストを拒否してしまわないよう、Backlogを保存できる上限を増やしてしまおうというのがこの方法です。こうすることで、ハーフオープン状態の接続数を増やすことができます。

ただし、Backlogの容量を増やすということは、メモリなどのリソースを余分に消費させることになるため、こちらも実装する際には、どこまでBacklogを増加させることが最適なのかなど、検討する必要があります。

IDS/IPSの導入

SYN flood攻撃を行なっているIPアドレスを特定できる場合には、IDS(侵入検知システム)やIPS(侵入防止システム)を導入し通信を遮断することも有効です。

IDSはネットワーク上のパケットやノードのログを監視し、不正アクセスの兆候を検知した場合、管理者に警告を通知してくれる仕組みです。

IPSは不正アクセスを検知した場合に通信を遮断するなどして、自身のネットワークを守ってくれる機器です。

WAFやIDS・IPSについては以下の記事で解説しています。

https://envader.plus/article/21

まとめ

SYN flood攻撃はTCPの3ウェイハンドシェイクの仕組みを利用し、サーバーの機能低下やOSのダウンなどを引き起こす攻撃です。

RFC4987では複数の対策方法が記されていますが、どの対策を取るにしても問題点があることが分かります。それぞれのメリットデメリットをよく理解し、より堅牢なシステムの構築を行なっていきましょう。