Googleはどのようにして壊滅的な破壊力を持つIoTボットネットと戦って勝利したのか?

記録的なDDoS攻撃に対してKrebsOnSecurityを防衛する舞台裏

カリフォルニア州オークランド – 9月、KrebsOnSecurityは、おそらくインターネットの最も勇敢なセキュリティニュース・サイトで、これまでで最大規模となる記録的なDDoS攻撃を受けました。 Akamaiがサイトに無料保護を提供しなくなり、他のDDoS軽減サービスが自発的にサービスを提供することはないと述べた後、サイトはすぐに見ることができなくなりました。 Googleが運営するProject Shieldというサービスは、最終的にKrebsOnSecurityをオンラインに戻して以来、このサイトを保護してきました。

水曜日のEnigmaセキュリティカンファレンスでは、Googleのセキュリティエンジニアが、クレブスがサービスに援助を求めた直後に発生した舞台裏の出来事のいくつかを説明し、その後数ヶ月で彼らははいと答えた。 エンジニアは彼を連れていくことに決して躊躇していませんでしたが、エンジニアはエンジニアが常にやっていたことを、そのメリットに対するリスクを重視しました。

「このボットネットが実際にgoogle.comを利用し、収益をすべて失うとどうなるだろう?」 Googleセキュリティ信頼性エンジニアのDamian Menscherは、人々が聞いてきたことを思い出します。 しかし、ボットネットが私たちを倒すことができるのであれば、それは、いずれにしても既に危険にさらされていると考えることができます。

Menscherのチームがクレブスを助けることになったのは約1時間しかかからなかった。 ジャーナリスト、人権、選挙監視サイトを公開しないようにするDDoS攻撃から保護するという使命を持つ無料のサービスであるプロジェクトシールドに、KrebsOnSecurityを実際に受け入れることにはかなり長い時間がかかりました。 アドミタンスの重要な要件は、サービスを要求している人がサイトを支配していることを証明することです。 KrebsOnSecurityがその時点でダウンしていたので、Krebsはこの要件を満たすことができませんでした。 さらに悪いことに、KrebsOnSecurityが使用したドメインネームシステムの設定は、定期的にサイトを標的としたドメインハイジャック攻撃を阻止するためにロックされていました。 これにより、クレブスはサイトのDNS設定を管理していることを証明できなくなりました。

Project Shieldが最終的にKrebsOnSecurityをオンラインに戻すと、攻撃が再開されるまでにわずか14分かかりました。 最初のものは、毎秒1億3000万回のsynパケットの氾濫という形で発生しました。これは、たくさんのサイトをダウンさせるのに十分な大きさですが、Googleが持っているリソースと比較した場合、わずかな低下です。 約1分後に、攻撃はわずかに強力な1秒間に約250,000件のHTTPクエリの洪水にシフトしました。 これは約145,000の異なるIPアドレスから来たもので、カメラやその他のインターネット関連デバイスを奴隷にするオープンソースのボットネットアプリケーションであるMiraiが責任を負うことが明らかになった。 攻撃者は、DNS増幅と400万パケット/秒のsyn-ack洪水と呼ばれる技術によって可能になった140ギガビット/秒の攻撃を含む、さらに多くのバリエーションでそれを続けました。

4時間の刻印で、KrebsOnSecurityはProject Shieldのエンジニアに見られる大きな攻撃の1つを経験しました。 これは、約175,000の異なるIPアドレスから毎秒450,000件以上のクエリを配信しました。 それ以前の攻撃と同様に、KrebsOnSecurityやそれを保護していたGoogleのリソースには直ちに脅威を与えませんでした。

攻撃は最初の2週間で最も強力でしたが、彼らが続行すると、さまざまな新しいテクニックが組み込まれました。 WordPressのpingback攻撃と呼ばれるものの1つは、互いにリンクしている2つのサイトのプロセスを自動化する、広く使われているブログ用プラットフォームの機能を悪用したものだ。 これにより、多数のサーバーがサイトリソースを圧倒しようとしてKrebsOnSecurityコンテンツを同時に取得しました。 Googleのエンジニアが直ちにブロックした「WordPress pingback」という単語を含むユーザーエージェントが、各クエリマシンによってブロードキャストされたため、Googleはこれをブロックすることができました。 「キャッシュ・バスト攻撃(cache-busting attacks)」と呼ばれる別のテクニックも停止されました。

KrebsOnSecurityに対するDDoS攻撃は今日でも定期的に発生していますが、中には短時間の中断が発生しているものもありますが、持続的な停止を引き起こしていないものもあります。 Menscherは、セキュリティ関連のエンジニア、技術者、研究者で構成された視聴者と次に述べるレッスンを共有しました。

小さなサイトを守ることは本当に難しいです。 Googleの長年の経験は、非常に大きなサイトを守ることでした。 私たちのサービスの1つに何千もの問い合わせがあった場合、大きな問題ではありませんでした。 しかし、ブライアンのオリジンサーバーは毎秒約20のクエリを処理する可能性があります。 私たちは1秒間に最大45万クエリの攻撃を検出しました。 あなたはそれにどのように対処していますか? それはちょっと難しいことです。 あなたができることの1つは、悪いトラフィックをレート制限することができることです。 だから、あなたは悪いトラフィックを特定し、それを抑制しようとする必要があります。 多くのことに役立つもう一つのことは、キャッシュから良好なトラフィックを提供できることです。 これは、元のサーバーから多くの負荷を取ります。 また、元のサーバーが不健全であっても、コンテンツをキャッシュに残しておいても、ユーザーにサービスを提供し、実際には障害が発生することはありません。

なぜ、Googleのような大規模なサービスが、Prolexicの役員(アカマイがDDoS軽減のコアコンピタンスを持つサービスを提供していた)が、もはやプロボノの取り決めを継続することができなくなったと言われていたときに、クレブスを無料で防衛できる理由について尋ねた。 :

規模の経済性について言われることはたくさんあります。 Googleのケースでは、すでに多くのプロパティを提供しています。 そのすべてを持つことで、余裕のあるテラビットの容量を持つことは、コスト効率が向上します。 私はProlexicも予備の容量のテラビットを持っていると思うだろうが、それは同時に2つのDOS攻撃が来ている場合、余分な容量を食べ始めます。

Menscher氏は、Googleのような会社でも、特定の年に5分以上のダウンタイムが発生しないようにする必要がある場合でも、リスクを取る必要があることを究極の目標としています。

「私は物理学者として訓練されました。物理学では、世界の仕組みを常に把握しようとしています。 しかし、あなたは適切な質問をしなければならない。あなたは事を調査しなければならない。あなたはいつもあなたの前提に疑問を抱かせる必要があり、DDoS防御は非常に似ている。 より積極的に行動して、より多くの攻撃を引きつけ、いくつかのリスクを取るようにしてください。」

参照:

DAN GOODIN

https://arstechnica.com/security/2017/02/how-google-fought-back-against-a-crippling-iot-powered-botnet-and-won/

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*