ニュースレターNo.57/2014年8月発行

技術動向報告

本稿では、APRICOT2014／APNIC37のトピックのうち、技術的な話題をお届けします。

UDPを利用した攻撃の傾向に関する話題(DNSとNTP)

昨年に開催されたAPRICOT 2013/APNIC 35では、DNSの仕組みを悪用した攻撃についての動向(オープンリゾルバに関する話題)が、セッション中に報告されていました^※1。

本年のAPRICOT 2014/APNIC 37では、引き続きDNSを利用した攻撃についての動向報告がされた他、DNSと同様にインターネットで広く使われているプロトコルであるNTPを利用した攻撃について詳しく報告されていました。本稿ではこのNTPに関する攻撃の話題を中心に取り上げます。

NTPを利用した攻撃(APOPSでの発表)

APOPSは「The Asia Pacific OPeratorS forum」の略称で、環太平洋地域のインターネット運用者を対象とする、情報交換と交流のコミュニティです。APOPSのPlenaryセッションは、毎回のAPNIC/APRICOTカンファレンスにおいて開幕直後に設定されていて、年間の動向や注目すべきテクノロジーについて共有と報告がなされます。

今回のAPOPSは、2014年2月24日(月)、25日(火)の2日間に開催されました。

APOPSのセッションの中で、APNICのGeoff Huston氏から、“NTP and Evil”という演題で、NTPを利用した攻撃についての発表がありました。

最近のDDoS攻撃の傾向として、単純に攻撃パケットを対象に送りつけるのではなく、UDPの性質を利用して攻撃を行うパターンが増えています。

UDPの特徴として、通信を行う二つのノード間で、コネクションを確立せずに単純にパケットを送受信する点が挙げられます。TCPのようにコネクションを確立するプロトコルと比べると高速に転送を行える点が利点となりますが、通信パケットの偽装が比較的容易になります。例えば、送信元のIPアドレスを、攻撃を行いたいIPアドレスに偽装して、任意のサーバーにパケットを送信することにより、サーバーから偽装されたIPアドレスに応答を返すことが可能となります。このように、攻撃対象のIPアドレスに直接パケットを送信するのではなく、別のサーバーを踏み台として反射させるように攻撃することをリフレクション攻撃と呼びます。

前述の攻撃の構造をDNSに適用した場合が、DNSリフクレション攻撃となりますが、今回の発表は、リフクレション攻撃が、DNS以外にもNTPにおいても発生している問題が取り上げられました。

UDPを利用したリフクレション攻撃の条件として、該当のUDPを使ったサービスが下記にあてはまる場合に特に悪用されやすくなりますが、DNSのみならずNTPにおいても悪用されやすい条件を満たしています。

広く使われているサービスである
サーバーが普及している
サーバーの維持管理が不十分である
特定のクライアントに限定されるのではなく、任意のクライアントがサーバーに問い合わせる構造になっている
サーバーの返す応答が、問い合わせのパケットサイズより大きくなる

NTPは時刻同期に使われるプロトコルです。上記の条件に照らすと、下記のようにいずれも該当します。

広く使われているサービスである
→ コンピュータの時計を同期させるために、広く使われているサービスである
サーバーが普及している
→ NTPサーバーはインターネットに散在している
サーバーの維持管理が不十分である
→ NTPサーバーは設定投入後、維持管理の運用を失念しがちである
特定のクライアントに限定されるのではなく、任意のクライアントがサーバーに問い合わせる構造になっている
→ 任意のクライアントへ応答を返すことはサービスの性質上必須では無いが、クライアントを制限しない設定になっている場合がよくある
サーバーの返す応答が、問い合わせのパケットサイズより大きくなる
→ 通常の時刻同期のパケットサイズはクライアント・サーバー間で対照的であり同じサイズだが、NTPの特定のコマンドを利用した場合にパケットサイズが増幅される場合がある。

前述(5)の増幅についてですが、NTPに関連するコマンド群の中で、悪用される場合が多いのが、monlistと呼ばれるコマンドです。これはNTPサーバーが過去に応答したことのあるNTPクライアントのリストを取得するためのコマンドですが、1回の応答によりサーバーが返すことのできるリストの量が600行と膨大となるため、一つの問い合わせパケットに対し200倍程度の増幅となる場合があります。

対策として、NTPサーバーを運用している場合は、時刻同期の対象を必要なクライアントに限定することや、monlistの機能を無効にすることが挙げられました。また、通信経路に存在するネットワーク機器のフィルターに関しても、必要なNTPサーバー・クライアントの間のみ許可されるよう適切に設定することも対策として挙げられました。詳細は公開されている資料よりご確認ください^※2。

NTPを利用した攻撃(Lightning Talkでの発表)

NTPに関する攻撃については、日本のインターネット運用者コミュニティでも関心を集めており、JANOGではNTP情報交換WG(NTP-talk WG)が2014年1月から活動しています。

APRICOT 2014/APNIC 37のLightning Talkでは、NTTコミュニケーションズ株式会社の西塚要氏から“Efforts Against NTP Reflection Attacks in JP”という演題で、日本のコミュニティの取り組みが報告されました。発表では、NTP攻撃の構造と対策について共有があった他、JANOGにてNTP-talk WGが発足したこと、2014年7月までの活動期間にてドキュメントなどの成果をアウトプットする予定であることが報告されました。こちらの詳細も公開されている資料より確認できます^※3。

その他のセッション

前述のセッション以外にも、P.26からの全体報告で紹介したように今回のカンファレンスでは「他の組織との連携」が意識され、さまざまなセッションが開催されていました。全体報告で紹介したもの以外には次のようなセッションが開催されていました。原発表のビデオとスライドがAPRICOT 2014/ APNIC 37のWebに公開されていますので、興味のある方はご参照ください。

IPv6関連(Asia Pacific IPv6 Task Forceなど)
APIPv6TF and IPv6 Readiness Measurement BOF
ルーティング関連(Peering Forum, Routing Securityなど)
Peering Forum
Routing Session

(JPNIC 技術部澁谷晃)