前回は、Webstresserの仕様を調べましたが、実際Webstresserでどのような攻撃が行われるのかを調べてみます。知らない攻撃も多かったのでためになりました。
今回もまたYouTubeを探し回って、今度は攻撃リストを見てみます。(Webstresserのページが凍結されているため。ちなみにページのキャッシュって今でも残ってるんでしょうか。恥ずかしながら初心者なので見方が分かりません…)
聞いたことがあるのは、DNS Amplification攻撃、NTP Amplification攻撃、TCP-ACK、TCP-SYNなど。動画を見る限りSlow DDoS系は無さそう?
とりあえず聞いたことのない攻撃について表面的だけでも浚ってみました。
Webstresserで提供されていた攻撃
CHARGEN
It's an UDP based method whivh uses chargen service to amplify and reflect the attavk to the targeted IP address.
知識が無いのでCHARGENというプロトコルを知りませんでした。以下のRFCを読んでお勉強。単純に試験用に文字を送信するだけのプロトコルのよう。3分程度で読み終わりましたが、英語RFC読破実績解除してよいのか悩みます。
一応DoS攻撃も確認されているようですが、文面的にも主流的にもAmplification攻撃の方ですかね。
Amplification Factorは358.8 。結構大きいような気がするんですが、CHARGENを解放したままにしているサービスは少なそうなので使われるイメージがあまり湧かないです。
ちなみに、2019/02/25現在にDDoS Monを確認したところでは19番ポートは見つからなかったです。
DOMINATE
攻撃名が汎用的であることもあって鬼のように関連文献を見つけられませんでした。関連がありそうなのは以下の2件。
DOMINATE is a newer (since January 2015) layer four flooding technique that has been advertised as a method to attack protected services by sending traffic to the actual IP addresses of those protected servers. Analysis of this attack method in the underground suggests that it is a modified version of a spoofed SYN flooding script (ESSYN) that adds the capability to use different TCP flags.
Dominate Method Attack is a New method of DDoS Attack on Layer4 of Network. the method is able to drop servers from ddos protected networks such as OVH, Voxility by bypassing their firewall and sending the attack straight to the server itself, therefore causing it crash completely.
これだけだとSYN Flood攻撃の亜種感があるんですが、TCP Flagを色々と変えるのは何の目的でやっているのかがいまいち良く分からない。シグネチャ回避とかそのくらいなのだろうか。
"The attack code is the hype" (誇大広告)と言われているので、攻撃者にとってあまり効果が無いと認識されている攻撃っぽいですね。
COD
Its on UDP based method which can take down even highly protected Call of Duty servers.
何だろうと読んでみたらまさかのゲームタイトル。Call of Dutyサーバ専用の攻撃なんてあるのか…。最近FF14がDDoS攻撃を受けていると聞きましたがBoosterにゲーム専用の攻撃が用意されていたりするのでしょうか。
PORTMAP
Amplification攻撃の一種。おそらくmemcachedくらい有名なんだと思いますが、2015年時点ではあまりセキュリティの勉強をしていなかったので知らなかったです。NFS (Network File System)で用いられるUNIX系のデーモンかな? Amplification Factorは7から28。
VOX
It's an UDP based method which is best used for downing highly protected servers.
名前で調べてみたんですが、詳細が不明。こちらのページや他の箇所でDDoS攻撃防御の企業としてVoxilityという名前がよく取り沙汰されているんですが、"highly protected servers"を見るに、Voxilityのサービスを利用している組織に対してこの攻撃を利用するということでしょうか。
Teamspeak 3
これも調べてみたらボイスチャット系のサービス名でした。もしかしてゲームをやる人には有名だったりするのかな。
このサービスに特化した攻撃だそうです。Discordに向けたDDoS攻撃もあるのかな?
もう一つkillモードの攻撃が用意されてあって、この場合はすべてのポートに対して攻撃を行うそうです。
VSE
Our custom made VSE which is based on the already well known valve source engine method. Our method should be about 20-90% more effective (depends on the targeted host) than the public versions.
Valve Source Engineというゲームエンジンに関連した攻撃。
以下の文献では、TSource Engine Queryを大量にゲーミングサーバに送信する攻撃であると説明されていました。ゲームエンジンはUnityしか知らないんですが、オンラインサーバもゲームエンジンで作るのだろうか。それとも、Minecraftみたいにサーバ建てます的な話なのかもしれない。もしかしたら、ゲームエンジンで作ったクライアントで攻撃するのかな。
(追記 2019/3/24 )Valve社のSteam用サーバに対する攻撃とのことです[1]。PCゲームはまったくやらないので全然ピンと来てませんでした。
[1] Manos Antonakakis and Tim April and Michael Bailey and Matt Bernhard and Elie Bursztein and Jaime Cochran and Zakir Durumeric and J. Alex Halderman and Luca Invernizzi and Michalis Kallitsis and Deepak Kumar and Chaz Lever and Zane Ma and Joshua Mason and Damian Menscher and Chad Seaman and Nick Sullivan and Kurt Thomas and Yi Zhou, "Understanding the Mirai Botnet", USENIX Security Symposium, 2017.
調べてみると、Valve source engine flood攻撃という種類でMiraiの機能の一つとして実装されているようです。Webstressorの説明文に載っている"public versions"はMiraiやその亜種を指しているのかなぁ。
https://www.janog.gr.jp/meeting/janog39/application/files/1514/8454/4304/JANOG39-dyn-simamura-01.pdf
https://www.joho-shimane.or.jp/files/original/201612121543425454713.pdf
まとめ
いかがでしたか? と言わんばかりの何の結論もない内容ですが、備忘録として。らしい / ようです Flooding攻撃が行われています。
調べてみると、よく利用されるサービス、特にゲームに向けたDDoS攻撃が多く搭載されているようで、オンラインゲームの人口ってかなり多いんだろうなぁという印象。
今後は別のブースターなり、Miraiのソースコードなりをちまちま読んでいきたい。
