ファイアウォールによるDDOS分散サービス妨害攻撃

DoS（サービス妨害攻撃）およびDDoS（分散サービス妨害）攻撃を防ぐためのいくつかの方法が、大規模Webサイトおよびネットワークサーバーのセキュリティ上の脅威の1つです。 2000年2月、ヤフー、アマゾン、CNNが攻撃され、その他の事例もあり、これらは重大なセキュリティ事件の歴史に刻まれていました。 SYN Floodは、その優れた攻撃効果により、最も一般的なDoSおよびDDoS攻撃方法となっています。 SYN FloodはTCPプロトコルの欠陥を利用して大量の偽造されたTCP接続要求を送信します。これは攻撃された当事者のリソースを使い果たし、通常のサービス要求に間に合うように応答または処理できません。通常のTCP接続では3方向のハンドシェイクが必要で、最初にクライアントからSYNフラグを含むパケットが送信され、サーバーからクライアントの要求が受け入れられたことを示すSYN /ACK応答パケットが返され、最後に確認応答パケットACKが返されます。これでTCP接続は完了です。応答パケットがサーバによって送信された後、クライアントが確認応答を発行しない場合、サーバはタイムアウトの間待機し、その間に半接続状態は限られたスペースでキャッシュキューに格納されます。これにより、サーバー側のTCPリソースがすぐに使い果たされ、通常の接続ができなくなったり、サーバーシステムがクラッシュしたりします。

ファイアウォールは、外部ネットワークによる不正アクセスから内部ネットワークを保護するために使用されることが多く、クライアントとサーバーの間に配置されているため、DoS攻撃による内部サーバーの保護を防ぐために使用されます。 SYNフラッドの場合、ファイアウォールには通常、3つの保護方式があります。SYNゲートウェイ、パッシブSYNゲートウェイ、およびSYNトランクです。

SYNゲートウェイファイアウォールは、クライアントからSYNパケットを受信すると直接サーバーに転送し、サーバーからSYN /ACKパケットを受信すると、クライアントにSYN /ACKパケットを転送します。クライアントの名前でACKパケットをサーバーに送信し、TCPの3方向ハンドシェイクを完了して、サーバーを半接続状態から接続状態にします。クライアントの実際のACKパケットが到着すると、データはサーバーに転送されます。それ以外の場合、パケットは破棄されます。サーバーは半接続状態よりはるかに高い接続状態に耐えることができるので、この方法はサーバーへの攻撃を効果的に軽減することができます。

パッシブSYNゲートウェイファイアウォールのSYN要求タイムアウトパラメータを、サーバーのタイムアウト期間よりもはるかに短くなるように設定します。ファイアウォールは、クライアントからサーバーに送信されたSYNパケット、サーバーからクライアントに送信されたSYN /ACKパケット、およびクライアントからサーバーに送信されたACKパケットを転送します。したがって、ファイアウォールタイマーの期限が切れたときにクライアントがACKパケットを送信していない場合、ファイアウォールはRSTパケットをサーバーに送信して、サーバーにキューからの準参加を削除させます。ファイアウォールのタイムアウトパラメータはサーバのタイムアウト期間よりはるかに小さいので、これはSYNフラッド攻撃を効果的に防ぐことができます。

クライアントからSYNパケットを受信した後、SYNリレーファイアウォールはサーバーに転送せずにステータス情報をログに記録した後、クライアントにSYN /ACKパケットをアクティブに送信します。通常のアクセスを示し、ファイアウォールを介してSYNパケットをサーバーに送信し、3方向ハンドシェイクを完了します。このように、ファイアウォールは、クライアントとサーバー間の接続を実装するためのプロキシとして機能し、サーバーへの利用できない接続を完全にフィルタリングできます。