朝日ネット 技術者ブログ

朝日ネットのエンジニアによるリレーブログ。今、自分が一番気になるテーマで書きます。

どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話

はじめまして、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。

本記事では、インターネットが遅い、調べてみるとネットに接続した機器がアップロードを何百ギガと繰り返している、一旦電源を落として再接続すると復旧するがすぐ元に戻る、といった症状が発生している場合の理由と対策について解説します。

各種の症状について頻度をマークで示しております。

時刻同期(NTP)サービスの公開による踏み台被害

f:id:a-fujisaki:20190729103553p:plain
NTP monlistの脆弱性を悪用したリフレクション攻撃の図解
【頻度★★★】 機材側のポート番号が123番で、身に覚えのない海外IPへの通信が大量にあって、inbound(機器に入ってくる)通信が0.1~10Mbps、outbound(機器から出ていく)通信が10~1000Mbpsの場合。 機器に NTP monlist の脆弱性があり、大量の不要で無意味な通信を外部から無理やり発生させられている可能性があります。

2016年以前に発売された監視カメラにこの種の脆弱性を持つものが多く、ネット接続が確立してから数日以内に悪意のある人に発見されて通信量が急増するのがこの症状の特徴です。

お持ちのカメラやルータ、計測機器などに新しいファームウェアを適用しないまま何年も放置していないでしょうか?

たいていの機器にはファームウェア更新機能があり、メーカーが新しいファームウェアをホームページで提供しています。

NTPの脆弱性が悪用されている場合、最新のファームウェアを適用する事で解決する事がほとんどです。

ファイアウォールやパケットフィルタをお持ちであれば、WAN側から機材IP:UDP 123番宛てのパケットをブロックする事でも被害を防ぐことが可能です。

DNSサービスの外部公開による踏み台被害

f:id:a-fujisaki:20190729103403p:plain
DNSを悪用したリフレクション攻撃の図解
【頻度★★】 機材側のポート53番から海外IPへの通信が大量にあって、outbound(機器から出ていく)通信がinbound(機器に入ってくる)通信より1~3桁多い場合、 機材が持つDNSサービスをインターネット側から悪用されていて、大量の不要で無意味な通信を外部から無理やり発生させられている可能性があります。

サーバやネットワーク機器の中には、デフォルト設定で不特定多数からのIPアドレス問合せに応答するものがあります。

特に旧式の業務用ルータにこの設定であるものが多く、 このようなDNSサービスはオープンリゾルバと呼ばれ悪用の余地があるため2013年頃から世界的に問題となりました。

この問題はルータのファームウェアを更新する事で解決します。

また、自分の回線がオープンリゾルバになっていないかWeb上で診断してくれるサイトもあります。 http://www.openresolver.jp/

ルータとWANの間にFWを挟む事ができれば、inbound UDP 53番をブロックしても解決します。

53番ポートをブロックする時、間違えてoutboundをブロックすると名前解決ができなくなるので注意します。

LDAPサービスの外部公開による踏み台被害

【頻度★★】 機材側のUDPポート389番から海外IPへの通信が回線を埋め尽くすほど大量にある場合、 Windowsサーバで Connection-less LDAP サービスが動作しており、誤ってこのサービスを全世界に公開する設定にしてしまった可能性があります。

Connection-less LDAPサービスの公開を停止すれば解決します。

LDAPサービスは一般的にインターネット上に公開せずに運用するものであり、公開にはリスクが伴います。

なお、普通のLDAPはTCPの389番ですがConnection-less LDAPはUDPの389番を使います。

UPnPサービスの外部公開による踏み台被害

【頻度】 ルータのUDPポート1900番から外に大量の通信がある場合、ルータのUniversal Plug and Play(UPnP)機能に必要な SSDP サービスが悪用されています。

ルータのファームウェア更新で解決します。もしくはUPnP機能を使用する予定が無ければルータの機能からUPnPを無効にします。

このような被害にあわないために

通信機器を選定するにあたって、こうした被害に逢う確率を最小にとどめるにはどのようにすれば良いでしょうか?

メーカーのサイト上に「ファームウェア」「更新」という単語が出てくる機器を選びましょう。サポート元のサイトを見て、Q&Aなど充実していて頻繁に更新されているかどうか確認しましょう。

なお、国産の機器はたいてい国内の事情にあわせた商品開発が行われており、適切なサポートを受けられる可能性が高まります。

ルータのファームウェアは、更新が無いか定期的に確認しましょう。ファームウェアを自動で最新の状態にしてくれる機能があれば盤石でしょう。

お手元の機器を悪用されないよう、皆様もご注意ください。

また、朝日ネットでは、利用者への注意喚起を含めてNOTICEの取り組みに参加し活動していく予定です。 https://asahi-net.co.jp/media/pdf/asahinet_20190215_2_ja.pdf

採用情報

朝日ネットでは新卒採用・キャリア採用を行っております。