題目 リフレクタ攻撃における事前の攻撃発生予兆特定手法

五島 卓哉 (1251042)


すべてのIPアドレスからの問い合わせに返答するオープンリフレクタを悪用したリフレクタ攻撃が増加している。その攻撃パケットは300Gbpsにものぼり、インフラストラクチャの一環であるインターネットの安全、サービス展開の妨げとなる脅威となってきている。リフレクタ攻撃はリクエストとなるクエリに対して返答されるパケットサイズが数倍から数十倍となることから、攻撃者はインターネット上に多数分散配置されたボットを使用し、それらの送信元IPアドレスを攻撃対象者のIPアドレスに偽装し、同時に対象となるサービスが展開されているサーバに対してクエリを送信することで、あたかも攻撃対象者が自身で大量のリフレクタに対してクエリを送信したように見せることで、増幅された攻撃パケットを攻撃対象者に対して送信することが可能となる。これに対し本研究では攻撃発生前のパケットに対し、プロトコルごとに各ポート番号から繰り返し送信されるパケット数に着目し、プロトコルごとにその値を決定することで特徴抽出パケットを定義し、有効性の検証を行った。その結果、攻撃が発生する1から2日前に、特徴を定義したパケットが増加していたことを明らかにしリフレクタ攻撃の前兆を示した。