リオデジャネイロオリンピックで、毎秒540GbのDDoS攻撃を防御

asert_authors

投稿者:Roland Dobbins, Principal Engineer & Kleber Carriello, Senior Consulting Engineer

オリンピックのような全世界が注目する大規模なイベントには、何かしらの問題が伴います。しかし、物事は計画どおりうまくいくのが当然と考えられ、問題が起きると注目を集め、大きく取り上げられるものです。

2016年リオデジャネイロオリンピックでは、主催者、スポンサー、競技者が多くの問題に直面しました。すでにその多くが話題になり、オリンピックのような複雑なイベントには何千もの落とし穴や問題が起きる可能性があることに気付かされます。

成功は当然のこと

私たちはインターネットのアプリケーションやサービスに対しても同様の見方をするようになりました。問題なく稼働していると、オリンピック競技のライブストリーミング動画を生中継で視聴できることが驚異的なことだと気付くこともありません。得点や解説者のコメントも合わせて、地球上のほぼすべての場所で、パソコン、スマートフォン、タブレットで視聴できるのです。しかし、最新かつベストなコンテンツや情報にアクセスできなかったり、オンラインで友人とシェアや会話ができなくなったりするとイライラし、不満を訴えます。今やスポーツイベントはその規模を問わず、情報サービス、アプリケーション、データ、コンテンツをオンラインで継続的かつ問題なく提供されるのが当然になっており、オリンピックについては言うまでもありません。

リオデジャネイロオリンピックは、ほぼ克服不可能とされた重大な問題があったにもかかわらず、それに挑み克服しました。実際に多くの問題が起き、中にはそれほど問題にならなかったものもありますが、それらについてはすでに詳細な解説、議論、分析が行われてきました。

開会式の開始前にも、オリンピックの公式Webサイトや関連組織が540Gbpsに達する高度かつ大規模なDDoS攻撃を継続的に受けました。攻撃の多くは大会が始まる数カ月前から続いていましたが、オリンピックが始まると攻撃が激化し、500Gbpsを超えるDDoS攻撃が、これまで経験したことのない長期間にわたって続いたのです。

しかし誰も気付きませんでした。

高度かつ執拗な攻撃に直面しても、十分な可用性を確保することこそが、DDoS防御における必須事項です。そして、DDoS防御の成功とは、一般の人々が仮想空間で大規模な闘争が行われていることを認識することなく仕事や趣味に没頭できることであり、それは電気、水道、交通、救急サービスといった日々当たり前のように利用している無数のサービスのようなものです。

いずれにしても、リオデジャネイロオリンピックは過去のどのような大規模国際イベントと比べても、DDoS攻撃対策の迅速性、プロフェッショナルさ、有効性という点で新たな基準を打ち立てました。しかし540Gbpsに及ぶ攻撃があったことをご存じだったでしょうか。

攻撃キャンペーンが続き、拡大

PastedImage1

過去数カ月にわたり、オリンピックに関係する複数の組織が、毎秒数十ギガビットから数百ギガビットの大規模DDoS攻撃の標的となりました。攻撃の多くは、DNS、chargen、ntp、SSDPといったUDPリフレクション/アンプリフィケーション攻撃ベクトルで構成され、WebやDNSサービスを標的とする、ダイレクトUDPパケットフラッディング、SYNフラッディング、アプリケーションレイヤー攻撃を伴っています。こうした大会前の攻撃で使用されたIoTボットネットについては、Arbor ASERTの同僚であるMatt Bingが投稿したブログで、詳しく説明されています。全く同じボットネットが、他のいくつかのボットネットと共に、2016リオデジャネイロオリンピック期間中を通じて標的を広げ、大容量DDoS攻撃の作成にも使用されました(ただし、防御側の取り組みによってその影響は抑えられました)。

情報セキュリティ全般、特にDDoS防御の特徴として、高度な攻撃者が新たな攻撃手法を開発し、それが数年(時に数十年)の間、散発的に使用された後に武器となり、自動化によって技術スキルが低く、より幅広い攻撃者が使用するようになると考えられます。1990年代終わりからさまざまな大規模かつ影響の大きなリフレクション/アンプリフィケーション攻撃が行われましたが、3年半前からDDoSのレンタル・ボットネットや、いわゆる「ブーター/ストレッサー」サービスが攻撃手段に加わったことで、突如として広がりました。つまり、技術スキルが低い攻撃者が数回のクリックと少額のビットコインでインターネット上の「大量破壊兵器」が使える、という非常にゆがんだ脅威環境が生まれたのです。このパターンは何度も繰り返されており、全く関係のないバラバラの悪党が、次々に高度な攻撃メカニズムを見つけては、GUIと年中無休のオンライン「カスタマー」サービスまで付けて、武器として使っています。

古いものすべてが、また新しいものに

インターネットが実際どのように動作しているのか、考える人はあまりいませんが、TCP、UDP、ICMPだけは、良く聞くのではないでしょうか。これらのプロトコルはインターネット・トラフィックの圧倒的大部分を占めるため、他のIPプロトコルはほとんど、あるいは全く考慮されることはありません。

実際は、256ものインターネット・プロトコルが存在し、0から255までの番号が付けられています。TCPはプロトコル6、UDPはプロトコル17、ICMPはプロトコル1です。IPv4インターネットでは、256のプロトコルのうち254のみが使用されており、IPv4用(IPv6用ではなく)プロトコル0はリザーブされ、使用不可ですが、ルーターとレイヤー3のスイッチは問題なく転送されます。プロトコル255もリザーブされ、大半のルーターやスイッチは転送できません。あまり知られていないIPプロトコルの中にプロトコル47がありますが、Generic Routing Encapsulation(GRE)はアドホックの非暗号化VPN型トンネルに使用されています。

2000年後半以降、技術スキルの高い攻撃者が、あまり知られていないプロトコルをDDoS攻撃に使うようになりました。ルーターのACL、ファイアウォールのルール、DDoS防御のメカニズムは、TCP、UDP、ICMPのみを考慮して構成されていたことから、攻撃者はあまり知られていないプロトコルを使ってバイパスしようとしたのです。多くの場合、攻撃は初期段階では成功しますが、それは防御側が収集、分析、異常検出を行うArbor SPなどのシステムを利用したNetFlowテレメトリ分析により、事態の収拾に向けて推論を行うまでの話です。

PastedImage2-e1472574922907

GRE DDoS攻撃パケットの例

そして今、同様の攻撃手法が再び見つけられ、武器化され、リオデジャネイロオリンピック期間中に使用されました。特に、攻撃者は極めて大量のGRE DDoSトラフィックを作成しました。こうした「新たな」攻撃手法が、先ほど説明したIoTボットネットに組み込まれているのです。悪党たちが見つけるすべての新タイプのDDoS攻撃同様、近い将来、他のレンタル・ボットネットと「ブーター/ストレッサー」サービスのレパートリーにGREが加わると考えられます。

また、UDP/179を標的とした、あまり複雑でない大量のパケット・フラッドが観測されています。大半の(全部ではありません)UDPリフレクション/アンプリフィケーション攻撃は、UDP/80またはUDP/443を標的にします。それは、攻撃者は、防御者がTCPでなくUDPを使用した攻撃に気付かず(TCP/80は通常、非暗号化Webサーバーに使用され、TCP/443はSSL-/TLSで暗号化Webサーバーに使用されます)、混乱に陥ると考えるためです。Arborは、攻撃者がインターネットに接続された複数のネットワークを束ねるBGPルーティング・プロトコルへの攻撃を偽装したのだと考えています。BGPはTCP/179上で動作します。皮肉なことに、インターネットに接続されたネットワークのかなりの割合(全部ではありません)において、ネットワークの迷惑トラフィックがBGPのピアリング・セッションに干渉するのを防ぐため、インフラストラクチャACL(iACL)を使用することがベスト・カレント・プラクティス(BCP)になっています。

DDoS防御で金メダル —チームワークが鍵(特にオリンピックでは)

防御側はやるべき仕事を理解し、しかるべき準備をしました。大会開始に先立ち、膨大な作業がなされました。あらゆるサーバー、サービス、アプリケーション、およびそれらのネットワーク・アクセス・ポリシーの把握、Arbor SPの異常検出基準のチューニング、状況に応じたArbor TMS DDoS対策の選択と構成、Arbor Cloudチームと協力の下でのクラウドによるDDoS対応オーバーレイサービス、関連組織から必要な作業要員を確保した仮想チームの結成、ネットワーク・インフラとDNS BCPが適切に実装されていることの確認、通信チャネルと運用手順の策定などです。

その結果、2016年のDDoSオリンピックでは防御側が全面的に勝利を挙げました。DDoS攻撃が成功するのは、防御側の油断が原因であるケースがほとんどなのです。リオデジャネイロオリンピックではそのようなことは一切ありませんでした。

広範なDDoS防衛チームの見事な勝利により、世界の何十億の人々がオンラインで視聴するイベントでも、組織がオンライン資産を防御する準備を行えば、大規模かつ高度で執拗なDDoS攻撃に直面しても、可用性を維持できることが実証されました。高度な技術スキルを備えた防御チーム、業界トップのDDoS防御ソリューション、専任の組織内チームワークがDDoS防御の成功の鍵を握っていることが証明され、2016年リオデジャネイロオリンピックでそれがあらためて明らかになったのです。