サーバへのセキュリティ攻撃種類のちょっとまとめ
Dos/DDos攻撃
サーバにたくさんのリクエストを投げまくってリソースを食いつぶさして最終的にダウンさせる感じの攻撃。
F5アタックがこれにあたる。
にちゃんねるが某国からの大量アクセスでサーバが落ちて、にちゃんねるの避難所が活躍している記事を見るとなんかもう狙われたらもうどうしようもない印象がある。やるならたぶんロードバランサーでアクセス元によってサーバを振り分けるとかだと思う。
この手の攻撃は、社会は厳しいという言葉に尽きる。
SYN Flood攻撃
TCPコネクションを開始するSYNパケットを大量におくりつける攻撃。
SYNパケットを受け取ったサーバーは、SYN/ACKパケットを返して待機する。
でも、この攻撃では送信元が偽装されているため、返事が帰ってこないためサーバはタイムアウトになるまで待たないといけない。
こんな感じのやりとりを短期間かつ大量にやってメモリ食いつぶすとか接続可能数を潰すとかそんな感じ。
パスワードクラック
ブルートフォース攻撃
パスワードに使われるすべての文字を片っ端から組み合わせて総当たりの力ずくで不正アクセスを試みる攻撃。
解析に時間はかかるけど、対策してないといつの間にか乗っ取られてる感じ。
対策として、連続したログイン失敗回数の上限を超えるとログイン不可にするアカウントロックとか、パスワードの文字数を増やすのもよい。
辞書攻撃
パスワードとしてよく使われる文字列をあらかじめ用意しておき、対象アカウントに対してその文字列を片っ端からログインを試みる攻撃。
世界で最も使われているパスワードは「password1」らしく、辞書攻撃されたら即落ちっぽい。
Twitterでパスワードを「password1」と入力すると「パスワードが簡単すぎます。推測されにくい強固なパスワードにしてください。」って返ってきた。
対策は、辞書攻撃で使われるパスワードを登録できないようにする。(refs http://d.hatena.ne.jp/ozuma/20130605/1370367162)
あんま関係ないけどCMSが作るデフォルトのアカウントを消さないでブログを運用とか普通にある(この前あった)のでデザイナとかインターネッツしている人はとにかく意識あげて欲しい。
その他の手法
酷似したデザインで作った偽ログインにパスワードを入力させるフィッシングサイト。キーロガーでパスワードを取得。FTPとかで流れるネットワークパケット解析を解析してパスワードを取得。端末関係なくソーシャルエンジニアリングとかがあるみたい。
セキュリティホールへの攻撃
バッファオーバーフロー攻撃
プロセスの不備をついてプロセスを乗っ取ったり強制終了したりする攻撃。
BOF(Buffer Over Flow)やバッファオーバーランと呼ばれる事もあるらしい。
変数が1KB分の容量を確保していないのに10KBを突っ込んで不正終了させて、通常ではありえないプロセスの状態を作れたりするっぽい。
メモリ管理をしているC系統とかでよくあるらしい。