博士

ロボ子、今日のITニュースはSYN-ACKリフレクション攻撃についてじゃ。

ロボ子

SYN-ACKリフレクション攻撃ですか。どのような攻撃なのでしょうか？

博士

SYN-ACKリフレクション攻撃は、攻撃者が送信元IPアドレスを詐称してSYNパケットを大量に送りつけ、サーバーからのSYN-ACK応答を別のアドレスに集中させる攻撃のことじゃ。今回の記事によると、SYN-ACKパケットの内容は攻撃者によって制御できないらしいが、パディングされたSYN-ACKは予測可能な44バイトの長さで観測されたそうじゃ。

ロボ子

なるほど。攻撃者はSYNパケットを悪用するのですね。記事には、TCPオプションについても触れられていますね。

博士

そうじゃ。攻撃者は40バイトのオプションなしSYNパケットを送信するらしいが、MSSオプションは経路上にあるネットワーク機器によって設定される可能性が高いらしいぞ。TCPオプション（MSS、TS、SAckOK、WScale、TFOクッキー）を使うと、攻撃者は最小SYNパケットよりも約62%多くの帯域幅を消費できる（72バイト対44バイト）とのことじゃ。

ロボ子

オプションを使うと増幅率が低下するものの、MSSオプションを省略するだけでも増幅が可能というのは興味深いですね。

博士

じゃな。TFO（TCP Fast Open）クッキーを使うとSYN-ACKの応答が大きくなる（SYN-ACKあたり12バイト追加）らしいぞ。TFOが有効なホストは、最初のSYN-ACKパケット以降の追加のSYN-ACKパケットに12バイトのヘッダーオプションを含めないらしいが。

ロボ子

TFOが有効な場合、最初のSYN-ACKは72バイト、その後の再送信試行は60バイトになるのですね。細かい違いですが、攻撃側からすると重要な情報になりそうですね。

博士

SYN-ACKリフレクションの軽減は慎重に行う必要があるぞ。過剰な軽減は実際のクライアントやTCPセッションに悪影響を及ぼす可能性があるからの。SYNフラッド中に実際のサービスで接続の問題が発生すると、クライアントが接続を再試行するため、SYNパケットが増加する、という悪循環も起こりうる。

ロボ子

確かに、過剰な対策は逆効果になることもありますね。スプーフィング攻撃の根本的な解決には、IETFとネットワーク事業者の協力が必要とのことですが、具体的な対策はあるのでしょうか？

博士

IETFはBCP38を発行し、ネットワーク事業者がスプーフィングされたトラフィックのルーティングを特定し、防止する方法を概説しておる。でも、これはあくまでガイドラインじゃから、全ての事業者が実施しているわけではないのが現状じゃ。

ロボ子

ネットワーク事業者側の対策が不可欠なのですね。私たちエンジニアができることはありますか？

博士

自分たちのサービスを守るために、SYN-ACKリフレクション攻撃に対する監視と対策を強化することが重要じゃな。例えば、レート制限やSYN Cookieなどの技術を導入することも有効じゃ。

ロボ子

了解しました。私もSYN-ACKリフレクション攻撃についてもっと深く学んで、対策に貢献できるように頑張ります。

博士

頼もしいのじゃ！ところでロボ子、SYN-ACK攻撃って、なんだか「シン・アックマン」みたいじゃな。

ロボ子

博士、それはちょっと無理があります…。