monlist以降のUDPリフレクション攻撃についての備忘録
本当の詳細は、ISPにおけるネットワークオペレーションセンタに勤務する人に書いてもらうべきです。この記事は、そうでない人間にはこのように見えているという一例になります。まだ書きかけです。
monlist以前
- 2006-03-29 DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 | JPCERT/CC ・・・DNSのリフレクション攻撃の歴史は古く、2006年にはすでに発生している。
- 2013-03-29 DNS Amplification Attacks | US-CERT
- 2013-04-18 DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 | JPCERT/CC
monlist以降
- 2014-01-15 ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起 | JPCERT/CC ・・・当初はDNSに限定された攻撃手法と考えられていたものが、monlist機能の仕様が明らかになることで、他のUDPプロトコルでも発生しうることが明らかとなる。世界が一変する。
- 2014-01-17 UDP-Based Amplification Attacks | US-CERT ・・・monlistの直後にUS-CERTが出した記事。この時点でNTP以外の他のプロトコルにも着目。私の記憶する限りで最も重要。ありがたいことにその後も継続的にアップデートされている。
- 2014-02-25 Water Torture: A Slow Drip DNS DDoS Attack - Secure 64 ・・・『水責め攻撃』の由来となった記事。その後、夏にかけて、ISPのDNSキャッシュサーバが水責め攻撃によりダウンし、利用者がインターネット接続できなくなる事象が度々発生。攻撃の標的は中国の金融系のサイトであり、ISP内のネットワークで利用されているブロードバンドルータが攻撃の踏み台として悪用されたことでで、巻き添えを食ったと考えられている。この記事が参考になる。
- 2014-10-17 UPnP に対応したネットワーク機器を踏み台とした SSDP リフレクター攻撃に対する注意喚起について - @police https://jprs.jp/tech/material/iw2014-lunch-L3-01.pdf
- 2015-03-13 JANOG NTP 情報交換 WG NTP Reflection DDoS Attack解説ドキュメント
- 2015-07-01 RIPv1 Reflection DDoS Making a Comeback - The Akamai Blog
- 2015-11-30 電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定 ・・・DDoS攻撃のトラヒックをISPが遮断することが、通信の秘密の侵害に対する違法性阻却事由になりうることが示された。 -0216-08-31 MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. · MalwareMustDie! ・・・Miraiが初めて紹介された記事。IoT機器の脆弱性を悪用してつくられた大量のBoTによるDDoS攻撃。ただしこれはリフレクション攻撃とはちがう。
- 2016-10-21 2016 Dyn cyberattack - Wikipedia ・・・DNSホスティング事業者であるDynに対するMiraiボットネットによる攻撃。ついに1.2Tbpsという、テラオーダーの値が登場する。
- 2016-11-29 リフレクター攻撃の踏み台となる機器の探索行為と考えられるアクセスの増加等について | @police ・・・udp/389のLDAPについて
- 2018-02-27 memcached のアクセス制御に関する注意喚起 | JPCERT/CC ・・・DDoS攻撃のトラヒック量がそれまで1Tbpsの大台を少し超えるくらいだったのが軽く越えてくる。ソフトウェアの開発者も言及しているが、これまで悪用されなかったのが不思議。