DoS攻撃( denial-of-service attack)は、コンピューターに負荷をかけることによって、コンピューター資源を提供できなくする攻撃です。DDoS攻撃(分散DoS攻撃)は、複数のネットワークに分散する大量のコンピューターを通じて、一斉に特定のネットワークやコンピューターへ接続リクエストを送り、通信容量をあふれさせて、サービス提供を不能な状態にするDoS攻撃です。DoS攻撃、特にDDoS攻撃を防御するのは非常に難しいです。

今回はCapsaパケットアナライザを利用して、DDoS攻撃を検出し、解決する方法について紹介します。

Capsaを起動して、セキュリティ解析という解析プロファイルを選択します。セキュリティ解析プロファイルには、受けたDoS攻撃ビューが提供されています。お使いのネットワークがDoS攻撃された場合、攻撃に関する詳細情報は受けたDoS攻撃ビューに表示されます。

「受けたDoS攻撃ビュー」をクリックして、そのビューで統計データがあることで、お使いのネットワークは確かにDoS攻撃されたことを確認できます。

次に診断ビューに移動します。診断アイテムを確認したところ、ほとんどの診断イベントは「TCP重複した接続試み」であることが分かりました。そのアイテムを選択して、右の「診断アドレス」で一番多いアイテムは三つであることが分かっています。どのアイテムをクリックしても、下の「診断イベント」タブにおける「送信元IPアドレス」は異なっていますが、「宛先アドレス」は全部「×××.91.13.124」であることは分かりました。つまり、誰かが「×××.91.13.124」というアドレスにTCP接続を繰り返し試みていることで、DDoS攻撃を起こしています。

「診断イベント」タブで右クリックして、「×××.91.13.124」というアドレスをノードブラウザにロケートすることで、そのアドレスの具体的な情報を見てみましょう。

TCPセッションビューを見ると、送信元アドレスは全部ポート7000を通じて、「×××.91.13.124」に接続をリクエストしていることが分かりました。だから今回の例の解決方法の一つとして、ポート7000を閉じることができます。そして、下のシーケンスチャートタブを確認して、どのTCPセッションにも「SYN(接続リクエスト)」しかなく、「ACK(接続確認)」がありません。その繰り返しの接続リクエストがネットワークに負荷をかけるのです。

当社のお客様