REFLECTDOS – 増幅されたDoS攻撃

メソッドの説明

この検知メソッドでは、攻撃を増幅させる一部のサービスの脆弱性を悪用したDoS攻撃を検知できます(サービスが、特定のリクエストに対してはるかに大きなレスポンスを送信することがあります)。攻撃者は被害者のソースIPアドレスをスプーフィングし、小さなリクエストを大量に生成し、被害者を大量のデータで溢れさせます。このメソッドの目的は、このタイプのDoS攻撃による監視対象ネットワーク内のサーバの悪用を検知することです。NTP (UDP/123)、DNS (UDP/53、TCP/53)、Portmap (UDP/111)、TFTP (UDP/69)、およびSLP (UDP/427)サービスの悪用の検知が実装されています。

悪用されているサーバの検知には、送信データと受信データの比率が使用されます(単一クライアントとの通信)。イベントを生成するには、サーバが受信データのx-倍以上のデータを送信し(xはThresholdChangesパラメータの値)、MinimalRepliesパラメータの値以上のデータをそのすべてのクライアントに送信する必要があります。

この検知メソッドには、DNSサーバとNTPサーバのIPアドレスを定義するフィルタがDNSServersパラメータとNTPServersパラメータに割り当てられている必要があります。これらのフィルタのいずれかが割り当てられていない場合、検知の該当する部分がアクティブになりません。Portmap、TFTP、またはSLPサービスを悪用する増幅攻撃の検知では、フィルタの割り当ては必要ありません。検知メソッドのこの部分は、Portmapパラメータ、TrivialFTPパラメータ、およびSLPパラメータでアクティブ化できます。

このメソッドは、以下のサブメソッドで構成されます。

• Amplification: DNS、NTP、ポートマップ、TFTP、またはSLPサーバを悪用する反射型DoS攻撃をレポートします。

メソッド設定

このメソッドは、IPアドレスに関係なく、ネットワーク全体にわたってすべてのネットワークトラフィックに対して適用することをお勧めします。トラフィックの適切な監視場所は中央のスイッチです。

メソッドパラメータ

• MinimalReplies: 関連するサーバによって送信されるデータの最小量。

• ThresholdChange: 関連するサーバによって送信されたデータと受信されたデータの比率の閾値。

• DNSServers: DNSサーバのIPアドレスを定義するフィルタの名前。フィルタが割り当てられていない場合、DNSサービス(UDP/53、TCP/53)を悪用する、増幅されたDoS攻撃の検知が無効になります。

• NTPServers: NTPサーバのIPアドレスを定義するフィルタの名前。フィルタが割り当てられていない場合、NTPサービス(UDP/123)を悪用する、増幅されたDoS攻撃の検知が無効になります。

• Portmap: Portmapサービス(UDP/111)を悪用する増幅されたDoS攻撃の検知をアクティブ化します。

• TrivialFTP: TFTPサービス(UDP/69)を悪用する増幅されたDoS攻撃の検知をアクティブ化します。

• SLP: SLPサービス(UDP/427)を悪用する増幅されたDoS攻撃の検知をアクティブ化します。

フィルタの割り当て

このフィルタは、送信元IPアドレスまたは宛先IPアドレスを制限するために使用されます。

結果の解釈

このメソッドは、提供されているサービスが悪用されている場合にアラートを出します。この状況の解決策として、サービス設定の変更が考えられます。