DoS攻撃対策に関する研究
インターネットの普及と共に,悪意あるユーザからの攻撃に対するネットワークセキュリティの必要性が高まっている.その中でも,サービス不能攻撃(Denial of Service Attack: 以下DoS攻撃)が脅威となっている.これは,悪意あるユーザが,特定のサーバに対し大量のパケットを送ることで,そのサーバの機能を停止させる攻撃である.さらに近年では,複数の攻撃者がDoS攻撃を行う分散サービス不能攻撃(Distributed Denial of Service Attack: 以下DDoS攻撃)が大きな問題となっている.DoS攻撃においては,攻撃者は通常,自らの身元を隠すためにパケット中のパラメータ(例えば,パケットの平均寿命を表すTime To Live (TTL),距離を表すホップ数,発信元IPアドレスなど)を偽造する.そのため,DoS攻撃への防御対策を行う上で,パケットの偽造や複数の攻撃者からの攻撃への耐性が必要となる.
DoS攻撃対策は,アクティビティによって大きく侵入予防,侵入検知,侵入応答,侵入耐性及び緩和がある.4つに分類される.侵入予防は,攻撃者が侵入をするのを防ぐ.侵入探知は,攻撃者が侵入してきたことを探知する.侵入応答は,攻撃者が攻撃者から攻撃を受けたときに,なんらかの応答を行うことで攻撃を防ぐ.侵入耐性及び緩和は,攻撃者から攻撃を受けたときに,ある程度攻撃を受けるのを既知と判断し,攻撃を最小限にする.本研究では,なかでも侵入応答の分野を取り扱う.侵入応答では,攻撃を受ける前に対策をする事前対策と,受けた後に対処する事後対策の二つに大きく分類される.前者の例として,パケットフィルタリング技術が挙げられる.これは,送られてくるパケットに,ルータのアドレスなどの経路情報に基づいてマーキングを行い,そのマーキング値を用いて攻撃パケットを廃棄する技術である.後者の代表的な例は,トレースバック技術である.これは,攻撃パケットに対してある一定の確率でルータ情報を付加することで,攻撃経路を特定する技術である.トレースバック技術は有効な対策であるものの,多くの攻撃パケットを受信し,それらを解析して経路を復元する必要性がある,さらに,トレースバック技術は,DoS攻撃を受けている際中における防御策を与えるものではない.事前対策ではそのような問題点がないため,本研究ではフィルタリング技術を扱うものとする.
フィルタリング技術として代表的なものに,Yaarらによるパケットマーキング法を用いたPi方式がある.この方式では,パケットが経由する毎にルータが自らのIPアドレスなどの情報をIPヘッダ中のidentificaion fieldに書き込む.これにより,$2^{16}$(= 65536)個の異なる経路パターンを作ることが可能となる.このスキームは,他のフィルタリング方式と比較するとよい性能を持つことが実験的に示されている.%フォルスポジティブとは,攻撃者のパケットを正規ユーザのパケットと判断することを指し,フォルスポジティブは正規ユーザのパケットを攻撃者のパケットと判断することを示す.DoS攻撃においては重要なパラメータとなる.
しかし,Pi方式では,TTLの値に応じてマーキングを書き込むビット位置が変化していく.そこで,TTLの値を偽造することにより,攻撃者がマーキング値を変えることができるため,その値をフィルタリングに利用することが困難である.さらに,マーキングビット数$n$の値が小さいか,あるいは攻撃者への距離が近いような状況では,攻撃者が最初に設定した値が残ってしまい,なおかつ攻撃者のマーキング値の残っているビット位置がわからないため,マーキング値が一定の値とならない可能性がある.すなわちPi方式では,攻撃者のパケット偽造によって,マーキング値が大きく変動してしまうという問題がある.また,攻撃者が遠くに位置するとき,マーキングするビット位置のwrappingが起こり,遠くのルータの情報が上書きされてしまうといった問題点も挙げられる.この問題に対して,TTL unwrappingなどの対策が検討されているものの,いずれもアドホックなアプローチであり,有効性に疑問が残る.また,このような対策は,攻撃対象ホストに大きな負担を強いることになる.
このように,Pi方式は,TTLの偽造やマーキング値偽造に対してアドホックな対策しかしておらず,統一的な対策が望まれる.そこで筆者らは,上記の偽造に対してにより耐性を持つ方式(以下提案方式1と呼ぶ)提案した.また,ルータのメモリを用いて,16ホップ以上の経路情報をマーキングする方式(提案方式1+2と呼ぶ)を提案した.また、各方式の理論的評価では,Pi方式よりも提案方式のほうが偽造に耐性を持つという観点から,マーキング特性を解析し,特に次に示す変動係数の理論的評価を行った.同様に、各方式の評価実験では,マーキング値の偏りと複数の経路への対応という点から,変動係数,誤判定という二つのパラメータを用い,攻撃対象が受けるマーキング値を評価した.本方式では,フォルスポジテイブフォルスネガティブをまとめて誤判定と示す.その中には攻撃者のパケットを別の攻撃者のパケットと判定するものと,正規ユーザのパケットを正規ユーザのパケットと判定する割合も含まれる.変動係数が低いほどマーキング値に偏りが出るので,フィルタリングがしやすい.また,誤判定が少ないほど,経路に固有の値が割り振られる.どちらも低いほうがよい.上記の点から,各方式について理論的評価及び,実験での評価を定性的,定量的に評価し,提案方式1,1+2いずれもPi方式よりも偽造に耐性を持つマーキングを行うことを示した.