What is a DDoS booter/IP stresser? | DDoS attack tools

SaaSサービスとしてパッケージ化されたDDoS攻撃が、IPストレッサーのおかげで手頃な価格で利用できます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ブースターやIPストレッサーについての学習
  • DDoS攻撃ツールの理解
  • ビジネスモデルとしての犯罪の理解

記事のリンクをコピーする

IPストレッサーとは?

IPストレッサーは、ネットワークまたはサーバーの堅牢性をテストするために設計されたツールです。管理者は、ストレステストを実行して、既存のリソース(帯域幅、CPUなど)が追加の負荷を処理するのに十分かどうかを判断できます。

自分自身のネットワークやサーバーをテストすることはストレッサーの合法的な利用方法です。しかし、他の誰かのネットワークやサーバーに対して実行すると、正当なユーザーへのサービス拒否となり、ほとんどの国で違法となります。

ブースターサービスとは?

ブースターはブースターサービスとしても知られており、Webサイトやネットワークをダウンさせるために積極的な犯罪者が提供する、オンデマンドのDDoS(分散型サービス妨害)攻撃サービスです。つまり、ブースターはIPストレッサーの不正利用なのです。

不正なIPストレッサーは、多くの場合、プロキシサーバーを使用して攻撃サーバーのIDを隠します。プロキシは、攻撃者のIPアドレスをマスクしながら、攻撃者の接続を再ルーティングします。

ブースターはSaaS(サービスとしてのソフトウェア、Software as a Service)として巧妙にパッケージ化されており、メールサポートやYouTubeでのチュートリアルが付いていることも多々あります。パッケージの提供は、一度きりのサービスや規定期間内での複数回の攻撃といったものから、「永久」アクセスというものまであります。基本的に、1か月のパッケージ料金は$19.99ほどしかかかりません。支払いオプションには、クレジットカード、Skrill、PayPal、ビットコインがあります(PayPalでは悪意のある目的だと判明した場合、アカウントが取り消されます)。

IPブースターとボットネットの違いとは?

ボットネットはコンピューターのネットワークであり、各コンピューターの所有者は自分のコンピューターがマルウェアに感染していてインターネット攻撃に使われていることに気付いていません。ブースターはDDoS-for-hire(DDoS請負)サービスです。

従来、ブースターはボットネットを使って攻撃を仕掛けていましたが、精緻になるにつれて(一部のブースターサービスが言及しているように)「攻撃実行に役立てる」ため、より強力なサーバーを保有するようになっています。

サービス妨害攻撃の背景にある動機とは?

サービス拒否攻撃の背後にある動機は多様です。ハッキングスキルを試すSkiddie*、競合他社、イデオロギーの対立、政府が支援するテロ、または恐喝など。恐喝攻撃の支払いには、PayPalやクレジットカードが好まれます。ビットコインも、身元を偽装する機能を提供するために使用されています。攻撃者の観点から見たビットコインの欠点の1つは、他の支払い方法と比較してビットコインを使用する人が少ないことです。

*スクリプトキディ(Skiddieとしても知られる)は、ネットワークまたはWebサイトへの攻撃を開始するために他者が作成したスクリプトまたはプログラムを使用する、比較的スキルの低いインターネット上の乱暴者に対する軽蔑的な用語です。多くの場合、結果を考慮せずに、比較的よく知られた悪用されやすいセキュリティの脆弱性を狙います。

増幅攻撃やリフレクション攻撃とは?

リフレクション攻撃やアンプリフィケーション攻撃は、ターゲットのネットワークやサーバーを制圧するために正当なトラフィックを活用するものです。

攻撃者が被害者のIPアドレスを偽造して被害者のふりをしながらサードパーティにメッセージを送信することは、IPアドレススプーフィングとして知られています。サードパーティには、被害者のIPアドレスと攻撃者のIPアドレスを区別する術がありません。応答は直接被害者の元へ届きます。攻撃者のIPアドレスは被害者からもサードパーティサーバーからも隠されています。このプロセスをリフレクションと呼びます。

これは、攻撃者が被害者のふりをして被害者の家にピザを注文することに似ています。被害者は、注文もしていないピザの代金をピザ店に支払うはめになります。

トラフィックの増幅(アンプ)は、攻撃者によってサードパーティサーバーができるだけ多くのデータを被害者への応答として送り返すよう仕向ける際に発生します。レスポンスサイズとリクエストサイズの比率を増幅率と呼びます。この増幅率が大きいほど、被害者が混乱する可能性が大きくなります。処理するなりすましのリクエスト量のため、サードパーティサーバーも混乱します。NTP増幅はこういった攻撃の一例です。

最も効果的なタイプのブートプログラム攻撃は、増幅とリフレクションの両方を使用します。最初に、攻撃者は標的のアドレスを偽装し、第三者にメッセージを送信します。第三者が応答すると、メッセージは偽装された標的のアドレスに送信されます。応答は元のメッセージよりもはるかに大きいため、攻撃の規模が拡大します。

こういった攻撃における単一のボットの役割は、悪意のあるティーンエージャーがレストランに電話してメニューすべてを注文し、メニューの全項目を確認する折返しの電話を依頼するのと似ています。ただし、掛け直し先の番号は被害者のものです。これによりターゲットとなった被害者はレストランから依頼してもいない大量の情報を電話で受け取ることになります。

サービス妨害攻撃の種類とは?

アプリケーション層への攻撃はWebアプリケーションを狙いますが、最も精緻なやり方であることが多々あります。こういった攻撃はまずターゲットとの間に接続を確立し、プロセスやトランザクションを独占してサーバーリソースを使い果たすことでプロトコルスタックの第7層の弱点を悪用します。これは特定しにくく軽減しにくいものです。一般的な例は、HTTPフラッド攻撃です。

プロトコルベースの攻撃はプロトコルスタックの第3層、第4層の弱点を悪用することに注力しています。こういった攻撃は被害者やその他重要リソース(ファイアウォールなど)の処理能力をすべて消費し、結果としてサービスが崩壊します。一例としてSYNフラッドPing of Deathがあります。

帯域幅消費型攻撃は被害者の帯域幅を飽和させるために大量のトラフィックを送ります。単純な増幅技術を用いれば帯域幅消費型攻撃の生成は容易なため、よく見かける攻撃形態です。一例として、UDPフラッド、TCPフラッド、NTPアンプ、DNSアンプがあります。

よくあるサービス妨害攻撃とは?

DoSやDDoS攻撃の目的は、サーバーやネットワークリソースを十分に消費してシステムを正当なリクエストに対する応答不能状態にすることです。

  • SYNフラッド:一連のSYNリクエストを標的のシステムに送信し、システムを圧倒しようとします。この攻撃は3ウェイハンドシェイクと呼ばれるTCP接続シーケンスの弱点を悪用したものです。
  • HTTP フラッド HTTP GETまたはPOST要求を使用してWebサーバーを攻撃する攻撃の種類。
  • UDP フラッドUDPデータグラムを含むIPパケットが標的のランダムポートを圧倒する攻撃のタイプ。
  • Ping of Death:攻撃では、IPプロトコルで許可されているよりも大きいIPパケットを意図的に送信します。TCP/IPのフラグメンテーションは大きなパケットを小さなIPパケットに分割することで処理します。パケットをまとめると許容される65,536バイトよりも大きい場合、レガシーサーバーがクラッシュすることがよくあります。これは新規システムではほとんど修正されています。Ping フラッドはこの攻撃の現代版です。
  • ICMPプロトコル攻撃:ICMPプロトコルへの攻撃で、応答が返信される前に、各リクエストがサーバによって処理される必要があるという事実を悪用します。SMURF攻撃、ICMPフラッド、pingフラッドは、応答を待たずにサーバーをICMPリクエストで溢れさせることでこれを巧く利用しています。
  • SlowlorisRobert 'RSnake' Hansenによって発明されたこの攻撃は、標的となるWebサーバーへの複数の接続を可能な限り開いたままにしようとします。最終的に、クライアントからの別の接続試行が拒否されてしまいます。
  • DNSフラッド攻撃者が特定のドメインDNSサーバーをフラッド(氾濫)させ、そのドメインのDNS解決を崩壊させようとします
  • ティアドロップ攻撃:標的デバイスへの断片化されたパケットの送信を伴う攻撃。TCP/IPプロトコルのバグがサーバーによるこういったパケットの再構築を防止し、パケットの重複を引き起こします。ターゲットのデバイスはクラッシュします。
  • DNS増幅:このリフレクションベースの攻撃は、DNS(ドメインネームシステム)サーバーへの正当なリクエストを、より大きな要求に変換することでサーバーリソースを消費します。
  • NTP増幅:攻撃者が標的のネットワークやサーバーを増幅したUDPトラフィックで圧倒するためにネットワークタイムプロトコル(NTP)サーバーの機能を悪用する、リフレクションベースの帯域幅消費型DDoS攻撃です。
  • SNMPリフレクション:攻撃者は被害者のIPアドレスを偽造し、デバイスへ複数の簡易ネットワーク管理プロトコル(SNMP)リクエストを一気に発生させます。応答量で被害者を圧倒します。
  • SSDP:SSDP(Simple Service Discovery Protocol)攻撃はリフレクションベースのDDoS攻撃で、標的の被害者へ増幅した量のトラフィックを送信するためにUniversal Plug and Play(UPnP)というネットワークプロトコルを悪用したものです。
  • SMURF攻撃:この攻撃は、SMURFと呼ばれるマルウェアプログラムを使用します。被害者の偽装IPアドレスを記載した大量のInternet Control Message Protocol(ICMP)パケットがIPブロードキャストアドレスを使用してコンピューターネットワークにばらまかれます。
  • Fraggle攻撃: SMURFに似た攻撃ですが、ICMPではなくUDPを使用します。

DDoS攻撃を受けたらやるべきこととは?

  • データセンターやISPにすぐに知らせましょう
  • 身代金の支払いは絶対にしてはいけません。支払うことで身代金の要求がエスカレートします
  • 法執行機関に知らせましょう
  • ネットワークトラフィックを監視してください
  • Cloudflareの無料プランなど、DDoS対策プランをご検討ください

ボットネットの軽減方法とは?

  • ファイアウォールをサーバーにインストールしてください
  • セキュリティパッチを最新にします
  • ウイルス対策ソフトをスケジュール実行します
  • システムログを定期的に監視します
  • 不明なメールサーバーにSMTPトラフィックの配信を許可してはいけません

ブースターサービスを追跡しにくい理由とは?

これらの犯罪サービスを購入する人は、支払いにフロントエンドWebサイトを使用し、攻撃に関連する指示を出します。多くの場合、実際の攻撃を開始するバックエンドへの識別可能な接続はありません。したがって、犯罪の意図を証明するのは困難です。支払証跡を追跡することは、犯罪組織を追跡する1つの方法です。