CDNetworks、南アジアおよび東南アジアのネットワークパフォーマンス強化のため10Tbpsの容量アップグレードを発表 - もっと詳しく

XOR.DDoS 攻撃を理解する

2021年2月17日
CDNetowkrs アセット

コンテンツ

CDNetworksを無料でお試しください

当社のほとんど全ての製品に、14 日間の無料試用版があります。登録時、クレジットカードは必要ありません。

無料で試す
この投稿を共有

2015 年 9 月には、Linux マルウェアを利用した 150 ギガビット/秒 (Gbps) を超える大規模な XOR.DDoS 攻撃が発生しました。 XOR.DDoS は、Linux システムに影響を与えるために使用されるマルウェアの名前であり、攻撃名ではありません。 

これは 2014 年 9 月に検出され、この Linux トロイの木馬マルウェアの分析は、さまざまなサイバーセキュリティ サービス企業や、セキュリティ インテリジェンス レスポンス チーム (SIRT) を含むブログによって公開されました。

はるか昔の分散型サービス拒否攻撃は、今日でも有効ですか?このガイドでは、XOR.DDoS の分析とそれに対抗する方法について説明します。

XOR.DDOS マルウェアとは?

従来の攻撃は、Linux マシンの既存の脆弱性を利用して、オペレーティング システムを悪用していました。しかし、XOR.DDoS は Windows PC をゾンビ PC にし、コマンド & コントロール (C&C) サーバーを介して攻撃を開始します。

XOR.DDoS 攻撃は、SYN と DNS に無意味な文字列を含む大量のデータを生成することで、ネットワークを無効にするために使用されます。 

データ量は、ほとんどの一般的な企業のネットワーク処理能力と帯域幅を超えているため、これはネットワークにとって非常に深刻な脅威です。 

これらの主要なターゲットに加えて、UDP は上位レベルで大量のトラフィックをブロックするために使用されています。ただし、XOR.DDoS 攻撃では、小規模なネットワーク回線ではブロックできない TCP が使用されます。

ブルートフォース攻撃とは?

ブルート フォース攻撃は、正しいパスワードを取得するまで、ランダムなパスワードを何度も試行します。ブルート フォース攻撃にはさまざまな種類があります。 辞書攻撃 単語の組み合わせを試すことで復号化キーやパスワードを決定する攻撃、すべてのキーを入力するランダム攻撃、事前に定義されたハッシュ テーブルを使用するレインボー攻撃があります。

XOR.DDOS 攻撃の起源

77.1 % の XOR.DDoS 攻撃が中国と米国で発生しており、主にクラウド サービスを使用する Linux サーバーで発生しています。教育機関やゲーム業界と同様に、多くの大規模なクラウド サービス プロバイダーも XOR.DDoS マルウェアの被害を受けました。また、SSHサービス(22/TCP)を利用するケースがほとんどであるため、クラウドシステムを適切に管理・運用できていないことが想定されます。 クラウド セキュリティ ハッキングされました。

XOR.DDoS攻撃への対策

XOR.DDoS 攻撃は、SYN フラッディング + データを含む形で実行されます。 SYN は 3 ウェイ ハンドシェイクを実行するための単なるプロセスであり、SYN パケットにデータを含める必要はありません。 

データを含む SYN パケットが検出された場合、すべての SYN パケットをブロックすることで XOR.DDoS 攻撃を無効にすることができます。また、2015年に発生したSYNフラッディング+SYNなりすまし攻撃に対しても、SYN Cookieはなりすましに対して効果的で有用であるため、SYN Cookieを使用するとよいでしょう。

SYN cookie は、シーケンス番号に cookie 値を含め、末尾の SEQ – 1 = cookie 値と cookie 値を比較することで、SYN スプーフィングを効果的にブロックします。 

SYN Cookie は、応答を待つために一定の時間を必要としません。 2 つの値が同一でない場合、パケットは破棄されます。したがって、SYN Cookie はなりすまし攻撃をブロックする非常に効果的な方法です。 

または、First SYN DROP が 2 番目の対策になることもあります。この手法は、最初の SYN パケット情報をメモリに保存し、パケットをドロップすることによって機能します。セッション要求が正常であれば、同じ IP アドレスが SYN 要求を再度送信します。攻撃目的の場合は、別の IP からの別の SYN リクエストが受信されます。

結論 – DDoS Mitigation サービスを入手する

XOR.DDoS などの大規模な TCP 攻撃に対抗するには、大規模なネットワーク回線が必要です。 

コンテンツ配信ネットワーク業界は、 DDoS 攻撃に対抗する.サービスはクラウドベースであるため、利用可能なトラフィック処理能力は非常に大きく、コストは各企業でサービスを実装するためにかかるコストよりも大幅に低くなります。 

これらのサービスを使用すると、ほとんどの企業は手頃な価格と時間から大きなメリットを得ることができ、付随する問題は発生しません。

もっと詳しく知る