「SYN flood」の版間の差分

 

== 原理 ==

一般に、インターネット上の [[Transmission Control Protocol|TCP]]接続は次のような手順で行われる ([[3ウェイ・ハンドシェイク]]):

 

 

=== サーバへの負荷 ===

SYN flood 攻撃はサーバ上のメモリをどれくらい消費するのだろうか。サーバが帯域 1Gbps の[[イーサネット]]でインターネットと接続されていると仮定すると、外部から送られてくるデータ量は最大約 100メガバイト/秒である。通常の TCP SYN パケットの大きさは 60バイトであるので、1秒間に外部から送信されうる TCP SYN パケットは最大約 200万個になる。SYN flood攻撃では、これらの接続元アドレスは通常すべて異なるアドレスに偽装されているので、サーバは SYN パケットがひとつくるごとに最低でも 16バイトの情報を必要とする。したがって 1Gbps の帯域をフル活用した SYN flood 攻撃がおこなわれた場合、1秒間にサーバが消費するメモリは約 30メガバイトである。さらにサーバは各 SYN パケットを最大 30秒間にわたって保持しなければならない。すると、サーバが持たねばならない合計記憶容量は 900メガバイトになる。SYN flood 攻撃が継続して行われている間は 30秒ごとにこれらの記憶領域がほぼ全面的に書き換えられるうえ、サーバは新しいパケットがくるたびにそれがこれらの情報と一致しているかどうか照合しなければならない。このための処理能力やメモリアクセス速度は現在のほとんどの PC の能力を超えており、このような大規模な SYN flood 攻撃を通常の方法で[[負荷分散]]するためには高い能力と[[TCAM]]などの専用メモリをもった非常に高価な[[ルータ]]が必要である。

 

 

== この攻撃法による被害 ==

2007年2月20日～22日までに、この攻撃法によって、ドワンゴが運営する「ニコニコ動画（β）」のWebサーバ、メッセージサーバなどが攻撃され、23日11:20分よりサービスが停止される被害に遭った。

始めは、30台程度による小規模な攻撃であったが、その後増大。

結果、3000台以上による攻撃となり、サービスを停止した。

 

== 外部リンク ==