LOIC - Low Orbit Ion Cannon

攻撃者は hivemind モードを通じてコマンドを送信します。このコマンドには攻撃の詳細とターゲットシステムの情報が含まれています。このモードでは、1人のユーザが LOIC を完全に制御することが可能です。それは任意の botnet を利用することで実現できます. 

LOIC には限界があり、元々この用途で設計されたわけではないためだと考えられます（本記事で詳しく説明します）。まず匿名性がなく、プロキシを介してリダイレクトする機能もないため、身元が容易に追跡され、DoS攻撃を行ったとして起訴される可能性があります。LOIC のリクエストは一定のパターンを持つため、DoS攻撃の検出とブロックがしやすいです。これが、ハッカー集団 Anonymous が LOIC の改良版とされる HOIC をクラッシュさせた理由かもしれません. 

LOICとは？

Low Orbit Ion Cannon (LOIC) はもともとネットワークの負荷テスト用アプリでしたが、現在は DoS や DDoS 攻撃に使われています. 

Low Orbit Ion Cannon (LOIC) は Praetox Technology により開発されたプライベートな負荷テスト用ソフトで、後にオープンソース化されました。シンプルな作りです。

一般に公開されて以降、悪意ある目的で DoS や DDoS 攻撃を仕掛けるために利用されるようになりました. 

被害を引き起こす可能性があるにも関わらず、使いやすく手軽なため、技術知識がなくても DoS や DDoS 攻撃を実行できます. 

Low Orbit Ion Cannon は、ハクティビスト集団 Anonymous のメンバーや 4Chan フォーラムのユーザによる攻撃など、多くの攻撃に使われています.

使いやすさとアクセスのしやすさから、このツールの利用が増加しています。インターネットから制限なくダウンロードでき、操作も簡単なため、数分で攻撃を開始できます. 

LOIC は元々 C# で書かれた Windows 用ソフトで、Sourceforge で公開されたオープンソースプログラムでした。後に Linux、OS X、Android、iOS など他の OS でも利用可能となりました. 

JS版 LOIC や Low Orbit Web Cannon として知られるウェブ版から、ブラウザでアクセス可能です.

Low Orbit Web Cannon は多くの否定的なニュースにも登場しており、DDoSに関連する大規模な攻撃の例として、以下のものがあります:

Project Chanology – 2008年、サイエントロジー教会がYouTubeにアップされた一部動画の著作権侵害について申し立てを行い、それに応じて攻撃が仕掛けられました. 

Operation Payback – 2010年に実施された悪意ある攻撃で、Wikileaksに反対する組織を狙ったウイルスキャンペーンであり、Visa、MasterCard、PayPal、Sony、PlayStation ネットワークなどもターゲットとなりました.

Operation Megaupload: 2012年に Megaupload の閉鎖後、閉鎖に関与した全ての組織に対する攻撃が行われ、Universal Music Group や米国司法省などが狙われました. 

LOIC を理解するには、まず DOS と DDoS の基本を理解する必要があります. 

DoS攻撃

DoS攻撃、または DOS は初心者ハッカーの最初のステップとも言われ、ネットワークを攻撃してターゲットサービスを停止させる広く用いられている手法です. 

その目的は、正常な訪問者からのリクエストを受け付けられなくするためにサーバをブロックすることです. 

DOS と DDoS は基本的に同じもので、違いは以下の点だけです.

脆弱なサーバに対し、単一IPを使って攻撃が行われると、ターゲットが各リクエストに応答しようとする際に、攻撃者は大量のリクエストを送信します。その結果、帯域が圧迫され、新しい接続ができなくなり、サービス停止に至ります. 

現代のファイアウォールを活用すれば防ぐことができます。パッチスクリプトを組み込むことで、IP または IP 範囲ごとの接続数をカスタマイズできます.

一方、分散型 DoS 攻撃（DDoS）はボットネットを利用して行われます. 

ボットネットは、釣りリンクや添付ファイルに誘導することで生成され、罠にかかったデバイス（パソコン、ウェブカメラ、スマートデバイスなど）をハッカーが乗っ取ります.

ハッカーは乗っ取ったデバイスにあらかじめ指示を与え、対象に対して DoS 攻撃を実行させます. 

攻撃が開始されると、インターネット上の複数の IP からのリクエストによりターゲットは圧倒され、サーバがダウンしてしまいます. 

DDoSとDOSの違いは、DDoSが複数のIPを使用する点です。多数のIPをブロックするのは大変で、正規ユーザのパケットと攻撃パケットを見分けるのが課題です. 

LOICの動作原理

全体の仕組みはシンプルで、TCP、UDP、HTTPパケットを用いてターゲットサーバを混乱させ、サービスを妨害するだけです。同じ意図を持つ複数の人が協力することが求められます. 

LOIC の使用は意外と簡単で、特定のIPアドレスへTCPやUDPパケット、あるいは特定ポートへのHTTPリクエストを送ることでアクセスできます. 

1人で攻撃を完遂することはできず、複数の利用者が協力する必要があります。多くの接続でサーバに過剰なトラフィックを発生させ、サーバの動作を遅らせる、あるいは停止させるのが狙いです.

前述の通り、基本的な技術（携帯電話やPCなど）に慣れていれば、LOIC の操作は簡単です。組織的な DDoS 攻撃を行いたい場合は、hivemindモードを利用できます. 

hivemindモードでは、IRCチャンネルに接続するだけで、1人の利用者が多数のコンピュータ上の LOIC を完全に制御できます。その結果、攻撃は任意のボットネットによって実行されます.

使いやすい反面、攻撃を開始した人物は身元を隠したりプロキシを利用してリダイレクトしたりできるため、LOIC を用いた DDoS 攻撃では容易に追跡され、処罰されるリスクがあります. 

LOIC経由で行われるDDoS攻撃は、リクエストが一つのパターンに従うため、防御しやすいです。しかし、High Orbit Ion Cannon（HOIC）と呼ばれる、より高度なバージョンも存在します. 

攻撃の種類

LOICを用いたDOS攻撃では、TCP/UDPメッセージパラメーターにより識別される連続的なメッセージを送ることで、ターゲットサーバに複数の接続を確立できます. 

TCPやUDP攻撃では通常のテキストとして文字列を送信し、HTTP攻撃では HTTP GET メッセージとして送信します.

 UDP攻撃 

• 攻撃開始前に、攻撃方法として UDP を選択します。
• デフォルトでポート80が選ばれていますが、必要に応じて変更可能です. 
• 接続不要のプロトコルです。

以下は Snort ルールを表すコードです:

alert udp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR - LOIC DoS Tool (UDP Mode) - Behavior Rule (tracking/threshold)"; 

TCP攻撃: 

• この方法は UDP 攻撃と大きな違いはなく、基本的に同じ手法ですが、UDPとは異なり接続型プロトコルです。
• TCPを攻撃タイプとして選択します. 

HTTP攻撃: 

• この攻撃は少し異なり、対象サーバへ HTTP リクエストを送信するよう設計されています. 
• 攻撃者がウェブアプリ用ファイアウォールを持っていれば、HTTP攻撃は容易に検出されます。

以下は HTTP 攻撃を表すコードです:

ert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR - LOIC DoS Tool (HTTP Mode)"; flow: established,to_server; content:"|47 45 54 200d 0a|"; threshold: type threshold, track by_src, count 10 , seconds 10; reference: url, www.simpleweb.org/reports/loic-report.pdf ; classtype:misc-activity; sid:1234569; rev:1; )

# snort -c snort-test.conf -A console -q -r /LABS2/LOIC/PCAP/LOIC-http.pcap -O
01/27-11:57:52.977537 [**] [1:1234569:1] SLR - LOIC DoS Tool (HTTP Mode) [**] [Classification: Misc activity] [Priority: 3] {TCP} xxx.xxx.xxx.xxx:55178 -> xxx.xxx.xxx.xxx:8001/27-11:57:54.184679 [**] [1:1234569:1] SLR - LOIC DoS Tool (HTTP Mode) [**] [Classification: Misc activity] [Priority: 3] {TCP} xxx.xxx.xxx.xxx:55188 -> xxx.xxx.xxx.xxx:8001/27-11:57:55.111591 [**] [1:1234569:1] SLR - LOIC DoS Tool (HTTP Mode) [**] [Classification: Misc activity] [Priority: 3] {TCP} xxx.xxx.xxx.xxx:55198 -> xxx.xxx.xxx.xxx:80

LOICの使い方

ダウンロード:

LOIC はピザの注文よりも早くダウンロード可能です。Googleで「LOIC」を検索すればすぐに入手できます。Linuxディストリビューション（Kali Linux）を使用しているとより良いです. 

ソフトをダウンロードしたら実行してください。最初に、ターゲットのIPまたはURLを「Target Section 1」と呼ばれる欄に入力します。選択済みのターゲットボックスに表示されます.

入力完了後、攻撃方法を選択し、攻撃状況を監視します. 

スライダーで攻撃速度を設定します。初期設定は高速ですが、調整可能です。以下は各フィールドの意味です. 

IDLE: アイドル状態のスレッド数を表示します。ゼロであれば、攻撃がより効果的です. 

Connecting: ターゲットサーバへの接続試行数を示します. 

Requesting: ターゲットサーバから情報を要求している接続数を表示します. 

Downloading: サーバから情報をダウンロードしようとする接続数が示されます. 

Downloaded: 被攻撃サーバからのデータがダウンロードされた回数が表示されます. 

Requested: 被攻撃サーバからのデータダウンロード要求回数を示します.

これは、被攻撃サーバからデータがリクエストされた回数を示しています. 

Failed: サーバがリクエストに応答できなかった回数が示されます。失敗数が多い場合、サーバがダウンするか、既にダウンしていることを意味します。攻撃の成功は、FAILEDの数が多いほどと判断されます. 

LOIC攻撃の防御方法

LOICの動作が理解できたところで、防御方法をご紹介します. 

LOIC攻撃を防ぐ最善の方法は、インターネットサービスプロバイダーによる対策です。大手プロバイダーであれば、既にDDoS対策が整備されている可能性が高いです。クラウドストレージプロバイダーなど、高速な帯域を持つサービスを利用すれば、LOIC攻撃の被害を避けられます. 

しかし、個人でウェブサーバを運営している場合は、自力でLOIC攻撃に対抗しなければなりません。そのため、Snortなどの侵入検知・防御システムが必要です。LOIC攻撃が発生した際は、特定のIPからのパケットをフィルタリングするだけで対処できます. 

また、ファイアウォールの設定で1分あたりのリクエスト数を制限する方法もあります。これにより、正規ユーザに影響を与えずに攻撃トラフィックを除外できます. 

別の視点を示すと

小規模なLOIC HTTP攻撃であれば、ローカルファイアウォールで対策可能です。サービスプロバイダーがログを確認し、攻撃者のIPを特定、ブロックしてリクエストを拒否します。しかし、大規模攻撃の場合は、この方法では不十分です. 

TCPまたはUDPの大量接続攻撃の場合、ローカルファイアウォールでは対応しきれません。特にUDPはファイアウォールを混乱させるほど危険です. 

では解決策は何でしょうか？ 

ウェブアプリファイアウォール（WAF）はより強力で、HTTPフラッド攻撃に対する守りとなります.

全体として、LOICを利用する攻撃者はそのIPが特定されやすいです。米国、英国、スペイン、トルコなどハッカーを処罰する法律のある国では、利用者が減少しています. 

1. ルーターやファイアウォールの設定を、無効なIPアドレスからのアクセスを防ぎ、疑わしいプロトコルを除去するよう調整してください。TCP/ UDPフラッドを防ぐ機能を備えた機器もあるため、設定は特に重要です。サーバへのアクセスにはログインを必要とし、リクエストを確認して疑わしいIPを特定してください。疑わしいIPを法執行機関に提供し、今後の攻撃を防ぐのは貴社の責任です. 

2. 次に、侵入検知・防御システム（IDS/IPS）を導入してください。これにより、攻撃を試みる疑わしい、または正しいように見えるプロトコルを検出できます。互換性のある製品とネットワークを使用している場合、IDSは攻撃トラフィックのブロックに役立ちます。
   

3. プロバイダーに支援を求めてください。プロバイダーは、トラフィックが貴社の帯域に到達する前に攻撃トラフィックを検出・ブロックできます. 

4. 攻撃に対する準備を常に整え、インシデント対応計画を策定し、攻撃が疑われたらすぐに実行できる体制を整えておくことが必要です. 

5. ユーザや訪問者との連絡手段を確保してください。メールやソーシャルメディアなど、攻撃が発生した際に直ちに連絡できる体制が必要です. 

小規模な攻撃であれば、ネットワークトラフィックモニターやファイアウォールを用いて手動で検出・ブロック可能です。しかし、より大規模で連携した攻撃の場合、専用のセキュリティソリューションによる対策が必要です.