講演抄録/キーワード |
講演名 |
2021-03-02 11:05
Memcachedサーバを悪用したDRDoS攻撃の観測および攻撃インフラの分析 ○金銅瑞樹・新谷夏央(横浜国大)・牧田大佑(NICT)・吉岡克成・松本 勉(横浜国大) ICSS2020-45 |
抄録 |
(和) |
インターネットに公開されたMemcachedサービスは,DRDoS攻撃の強力なリフレクタとして悪用されていることが知られている.本稿では,ハニーポットおよび広域スキャン結果から得られたデータより,実際のMemcached攻撃の増幅率および公開されているMemcachedサービス数を分析した. 分析の結果,多くの攻撃の増幅率は数万倍にも及び,最大で約14万倍にも及ぶことがわかった.また,1万5千を超えるリフレクタが1,000以上のASに分散していた.さらに,Memcached攻撃の準備段階で攻撃者のIPアドレスが露見することに着目し,攻撃インフラの活動を分析した結果,観測した全攻撃の58%にあたる36万件を超える攻撃が,わずか7つのASに属する81IPアドレスによって担われていた.これらのASでは踏み台の探索,踏み台にキャッシュデータを送り攻撃を増大させる準備,実際のDRDoS攻撃といった様々な活動が行われていた. |
(英) |
Internet-facing Memcached services are known to have been misused as powerful reflectors of DRDoS attacks. In this paper, we first utilize high-interaction Memcached honeypots and Internet-wide scan results to analyze how high the amplification factors of Memcached attacks in the wild can be and how many open Memcached services there are. As a result, we report that the amplification factors of most attacks observed by the honeypots are indeed extremely high, up to about 140,000. Moreover, we find there are still over 15,000 reflectors in the wild scattering over 1,000 AS. We then analyze how the attack infrastructures are constructed and operated. We find that 81 IPs in 7 AS are responsible for over 360,000 attacks (58% of all attacks we observed), scanning and storing large payload on reflectors and actually performing attacks. |
キーワード |
(和) |
DRDoS攻撃 / Memcached / ハニーポット / 攻撃インフラ / / / / |
(英) |
DRDoS Attacks / Memcached / Honeypots / Attack Infrastructure / / / / |
文献情報 |
信学技報, vol. 120, no. 384, ICSS2020-45, pp. 114-119, 2021年3月. |
資料番号 |
ICSS2020-45 |
発行日 |
2021-02-22 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2020-45 |