IoT 機器を踏み台として利用する SYN/ACK リフレクション攻撃 – IIJ Security Diary

IIJ のマルウェア活動観測プロジェクト MITF のハニーポットでは、送信元アドレスを偽装した 80/tcp に対する SYN/ACK リフレクション攻撃を2018年8月から継続して観測しています。2019年1月下旬からはさらに別のポートを対象とした同様の攻撃活動を観測しました。本記事でその内容について紹介します。 SYN/ACK リフレクション攻撃 80/tcp を利用した SYN/ACK リフレクション攻撃については、「wizSafe Security Signal 2018年9月 観測レポート」において詳しく報告しています。送信元アドレスを偽装した TCP の SYN パケットを多数のアドレスに同時に送信し、その応答である SYN/ACK パケットを利用して送信元アドレスに対して DDoS 攻撃を行うものです。IIJ の観測では2018年9月26日に大規模な SYN/ACK リフレ

[b-wind]

“この 2つはいずれも IoT 機器等において Telnet プロトコルで使用されるポートです。 ”

[tmatsuu]

攻撃先がACKを返さないので結果としてSYN/ACKパケットの再送が繰り返し発生、なるほどー。ESTABLISHED/RELATEDでないにも関わらずソースポートが1024以下の場合はDROPするiptables設定を入れるべきでしょうか。

[MonMonMon]

syn/ackリフレクション解説

[tukanana]

警察庁報告と同様な観測。「TCP スリーウェイハンドシェイクにおいて、最後の ACK パケットを受信しない場合、SYN/ACK パケットの再送が繰り返し発生し、これが増幅率に寄与します。」コレミソ。