昨年、世界は Linux PC に対する 150 Gbps を超える大規模な XOR.DDoS 攻撃の影響を受けました。問題のマルウェア、Malware.XOR.DDoS は 2014 年に検出され、多くの研究分析の対象となっています。
元の攻撃は Linux を標的にしていましたが、新しいバージョンは Windows PC も攻撃し、コマンド & コントロール (C&C) サーバーを介して Windows PC を「ゾンビ」PC に変えることができます。
XOR.DDoS は、SYN フラッド攻撃で大量のデータと無意味な文字列を作成します。CDNetworks は、ほとんどの企業がデータを処理するネットワーク処理能力を持っていないため、深刻な脅威であると述べています。また、攻撃には小さなネットワーク回線ではブロックできない TCP が使用されます。
レポートによると、77.1% の攻撃は中国と米国で発生しており、主にクラウド サービスを使用する Linux サーバーと大規模なクラウド サービス プロバイダーで発生していることがわかりました。これは、ほとんどの攻撃で SSH サービス (22/TCP) が使用されていることを示唆しており、適切なセキュリティ管理が行われていないクラウド システムがハッキングされた可能性が最も高いと言えます。
CDNetworks は、データを含む SYN パケットが検出された場合、理論的には SYN とデータ フラッディングをブロックできると述べています。同社は、なりすまし攻撃に対して効果的な SYN Cookie の使用を推奨しています。
Cookie は SYN のシーケンスを比較し、それらが同一でない場合、パケットは破棄されます。あるいは、First SYN DROP は、攻撃をブロックするもう 1 つの効果的な方法です。
「この手法は、最初の SYN パケット情報をメモリに保存し、パケットをドロップすることで機能します。セッション リクエストが正常であれば、同じ IP が SYN リクエストを再度送信します。リクエストが攻撃のために行われた場合、別の IP からの別の SYN リクエストが受信されます」と CDNetworks の声明は述べています。
同社は、XOR.DDoS のような大規模な TCP 攻撃に対抗するために、大規模なネットワーク回線への投資を推奨しています。