DDoS booter/IP stresserとは?|DDoS攻撃のツール

SaaSパッケージになったDDoS攻撃が手頃な価格で利用できます。

Share facebook icon linkedin icon twitter icon email icon

DDoS booter

学習目的

この記事を読み終えると、以下のことができます。

  • booterやIP stresserについての学習
  • DDoS攻撃ツールの理解
  • ビジネスモデルとしての犯罪の理解

IP stresserとは?

IP stresserはネットワークやサーバーの堅牢性をテストするために設計されたツールです。既存のリソース(帯域幅やCPUなど)がさらなる読み込みを処理するのに十分かどうかを判断するため、管理者がストレステストを実行することがあります。

自分自身のネットワークやサーバーをテストすることはstresserの合法的な利用方法です。他の誰かのネットワークやサーバーに対して実行すると正当なユーザーへのサービス妨害となり、ほとんどの国で違法です。

booterサービスとは?

booterはbooterサービスとしても知られており、Webサイトやネットワークをダウンさせるために積極的な犯罪者が提供する、オンデマンドのDDoS(分散型サービス妨害)攻撃サービスです。つまり、booterはIP stresserの不正利用なのです。

不正なIP stresserはプロキシサーバーを利用して攻撃サーバーの識別情報を隠すことがよくあります。プロキシは攻撃者のIPアドレスをマスキングしながら、その接続を再ルーティングします。

booterはSaaS(サービスとしてのソフトウェア、Software as a Service)として巧妙にパッケージ化されており、メールサポートやYouTubeでのチュートリアルが付いていることも多々あります。パッケージの提供は、一度きりのサービスや規定期間内での複数回の攻撃といったものから、「永久」アクセスというものまであります。基本的に、1か月のパッケージ料金は$19.99ほどしかかかりません。支払いオプションには、クレジットカード、Skrill、PayPal、ビットコインがあります(PayPalでは不正目的だと判明した場合、アカウントが取り消されます)。

IP booterとボットネットの違いとは?

ボットネットはコンピューターのネットワークであり、各コンピューターの所有者は自分のコンピューターがマルウェアに感染していてインターネット攻撃に使われていることに気付いていません。booterはDDoS-for-hire(DDoS請負)サービスです。

従来、booterはボットネットを使って攻撃を仕掛けていましたが、精緻になるにつれて(一部のbooterサービスが言及しているように)「攻撃実行に役立てる」ため、より強力なサーバーを保有するようになっています。

サービス妨害攻撃の背景にある動機とは?

ハッキングスキルを具体化したいスキディ*、ビジネスにおける競争意識、イデオロギーの対立、政府が支援するテロ、強奪など、サービス妨害攻撃の背景にある動機はさまざまです。PayPalやクレジットカードは強奪攻撃で好まれる支払い手段です。ID偽装機能が提供されているため、ビットコインも利用されています。攻撃者目線でのビットコインの難点は、他の支払形態に比べてビットコイン利用者が少ないことです。

*スクリプトキディ、またはスキディとは、ネットワークやWebサイトに攻撃を仕掛けるために他の人が記述したスクリプトやプログラムを利用する、比較的スキルの低いインターネットにおける荒らしを軽蔑する言葉です。彼らは比較的よく知られていて悪用が簡単なセキュリティの脆弱性を狙い、その結果を考慮していないことがほとんどです。

アンプ攻撃やリフレクション攻撃とは?

リフレクション攻撃やアンプ攻撃は、ターゲットのネットワークやサーバーを制圧するために正当なトラフィックを活用するものです。

攻撃者が被害者のIPアドレスを偽造して被害者のふりをしながらサードパーティにメッセージを送信することは、IPスプーフィングとして知られています。サードパーティには、被害者のIPアドレスと攻撃者のIPアドレスを区別する術がありません。応答は直接被害者の元へ届きます。攻撃者のIPアドレスは被害者からもサードパーティサーバーからも隠されています。このプロセスをリフレクションと呼びます。

これは、被害者のふりをして被害者宅にピザを注文する人と同種です。被害者は注文していないピザの代金への支払い義務が生じることになります。

トラフィックの増幅(アンプ)は、攻撃者によってサードパーティサーバーができるだけ多くのデータを被害者への応答として送り返すよう仕向ける際に発生します。レスポンスサイズとリクエストサイズの比率を増幅率と呼びます。この増幅率が大きいほど、被害者が混乱する可能性が大きくなります。処理するなりすましのリクエスト量のため、サードパーティサーバーも混乱します。NTPアンプはこういった攻撃の一例です。

効果の大きい種類のbooter攻撃ではアンプ攻撃もリフレクション攻撃も利用しています。まず、攻撃者はターゲットのアドレスを偽装してサードパーティにメッセージを送信します。サードパーティが応答すると、メッセージはターゲットの偽のアドレスへ向かいます。応答は元のメッセージよりはるかに大きいため、攻撃サイズが増幅します。

こういった攻撃における1ボットの役割は、不良がレストランに電話してメニューすべてを注文し、メニューの全項目を確認する折返しの電話を依頼するのと似ています。ただし、掛け直し先の番号は被害者のものです。これによりターゲットとなった被害者はレストランから依頼してもいない大量の情報を電話で受け取ることになります。

サービス妨害攻撃の種類とは?

アプリケーション層への攻撃はWebアプリケーションを狙いますが、最も精緻なやり方であることが多々あります。こういった攻撃はまずターゲットとの間に接続を確立し、プロセスやトランザクションを独占してサーバーリソースを使い果たすことでプロトコルスタックの第7層の弱点を悪用します。これは特定しにくく対策しにくいものです。一般的な例は、HTTPフラッド攻撃です。

プロトコルベースの攻撃はプロトコルスタックの第3層、第4層の弱点を悪用することに注力しています。こういった攻撃は肥大者やその他重要リソース(ファイアウォールなど)の処理能力をすべて消費し、結果としてサービスが崩壊します。一例としてSYNフラッドPing of Deathがあります。

帯域幅消費型攻撃は被害者の帯域幅を飽和させるために大量のトラフィックを送ります。単純な増幅技術を用いれば帯域幅消費型攻撃の生成は容易なため、よく見かける攻撃形態です。一例として、UDPフラッド、TCPフラッド、NTPアンプ、DNSアンプがあります。

よくあるサービス妨害攻撃とは?

DoSやDDoS攻撃の目的は、サーバーやネットワークリソースを十分に消費してシステムを正当なリクエストに対する応答不能状態にすることです。

  • SYNフラッド: 連続したSYNリクエストがターゲットのシステムに、制圧目的で向けられます。この攻撃は3ウェイハンドシェイクと呼ばれるTCP接続シーケンスの弱点を悪用したものです。
  • HTTPフラッド Webサーバーへの攻撃にHTTPのGETやPOSTリクエストが利用される攻撃の一種です。
  • UDPフラッド ターゲットのランダムポートがUDPデータグラムを含むIPパケットによって制圧される攻撃の一種です。
  • Ping of Death: IPプロトコルの許容よりも大きいIPパケットを意図的に送信する攻撃です。TCP/IPのフラグメンテーションは大きなパケットを小さなIPパケットに分割することで処理します。パケットをまとめると許容される65,536バイトよりも大きい場合、レガシーサーバーがクラッシュすることがよくあります。これは新規システムではほとんど修正されています。pingフラッドはこの攻撃の現代版です。
  • ICMPプロトコル攻撃: ICMPプロトコルに対する攻撃は、応答を送り返す前にサーバーが各リクエストを処理しなければならないという事実を利用しています。SMURF攻撃、ICMPフラッド、pingフラッドは、応答を待たずにサーバーをICMPリクエストで溢れさせることでこれを巧く利用しています。
  • Slowloris Robert 'RSnake' Hansenによって発明されたこの攻撃は、ターゲットとなるWebサーバーへの複数の接続をできるだけ長く開いた状態で保とうとします。最終的に、クライアントからの別の接続試行が拒否されてしまいます。
  • DNSフラッド 攻撃者は特定ドメインのDNSサーバーを溢れさせ、該当ドメインのDNS解決を崩壊させようとします。
  • Teardrop攻撃: ターゲットのデバイスにフラグメント化したパケットを送る攻撃です。TCP/IPプロトコルのバグがサーバーによるこういったパケットの再構築を妨げ、パケットの重複を引き起こします。ターゲットのデバイスはクラッシュします。
  • DNSアンプ: このリフレクションベースの攻撃は、サーバーリソースを消費するプロセスでDNS(ドメインネームシステム)サーバーへの正当なリクエストをはるかに大規模なものに変えます。
  • NTPアンプ: 攻撃者がターゲットのネットワークやサーバーを増幅したUDPトラフィックで制圧するためにNetwork Timee Protocol(NTP)サーバーの機能を悪用したものが、リフレクションベースの大量消費型DDoS攻撃です。
  • SNMPリフレクション: 攻撃者は被害者のIPアドレスを偽造し、デバイスへの複数のSimple Network Management Protocol(SNMP)リクエストを送りつけます。応答量で被害者を圧倒します。
  • SSDP: SSDP(Simple Service Discovery Protocol)攻撃はリフレクションベースのDDoS攻撃で、ターゲットの被害者へ増幅した量のトラフィックを送信するためにUniversal Plug and Play(UPnP)というネットワークプロトコルを悪用したものです。
  • SMURF攻撃: この攻撃はSMURFと呼ばれるマルウェアプロトコルを使用します。被害者の偽装IPアドレスを記載した大量のInternet Control Message Protocol(ICMP)パケットがIPブロードキャストアドレスを使用してコンピューターネットワークにばらまかれます。
  • Fraggle攻撃: SMURFに類似した攻撃ですが、ICMPではなくUDPを使用します。

DDoS攻撃を受けたらやるべきこととは?

  • データセンターやISPにすぐに知らせましょう
  • 身代金の支払いは絶対にしてはいけません。支払うことで身代金の要求がエスカレートします
  • 法執行機関に知らせましょう
  • ネットワークトラフィックを監視してください
  • Cloudflareの無料プランなど、DDoS対策プランに連絡しましょう

ボットネットの軽減方法とは?

  • ファイアウォールをサーバーにインストールしてください
  • セキュリティパッチを最新にします
  • ウイルス対策ソフトをスケジュール実行します
  • システムログを定期的に監視します
  • 不明なメールサーバーにSMTPトラフィックを配信してはいけません

booterサービスを追跡しにくい理由とは?

こういった犯罪サービスを購入する人は支払い用のフロントエンドWebサイトを利用して攻撃に関する指示を出します。実際の攻撃を開始するバックエンドへの識別可能な接続はないことがほとんどです。そのため、犯罪目的が実証しにくくなります。支払証跡を追跡することは、犯罪組織を追跡する1つの方法です。