アプリケーション層DDoS攻撃は、Webサイトまたはサービスへのトラフィックの通常の流れを妨害するために、インターネットのアプリケーション層を標的にします。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
サインアップして、Cloudflareからセキュリティ関連の学習用記事をお受け取りください。
記事のリンクをコピーする
アプリケーション層攻撃又は7層(L7)DDoS攻撃とは、HTTP GETやHTTP POSTなどの一般的なインターネットリクエストが発生するOSI 参照モデルの「上位」層を標的とするように設計された悪意のある行動のことです。これらの7層攻撃は、DNSアンプリフィケーションなどのネットワーク層攻撃とは対照的に、ネットワークリソースに加えてサーバーリソースを消費するため、特に効果的です。
ほとんどのDDoS攻撃の根本的な有効性は、攻撃を吸収または軽減するために必要なリソースの量と、攻撃を仕掛けるために必要なリソースの量が釣り合わないことです。これはL7攻撃も同様ですが、アプリケーション層の攻撃はより少ない総帯域幅でより大きな損害をもたらすため、標的のサーバーとネットワークの両方に影響を与える効率は、同じ破壊的影響を達成するために必要な総帯域幅が少なくて済みます。
これがなぜそうなのかを調べるために、リクエストを行うクライアントとリクエストに応答するサーバーとのリソース消費の釣り合い具合の違いを見てみましょう。ユーザーがリクエスト(Gmailアカウントなどのオンラインアカウントにログイン場合など)を送信する場合、ユーザーのコンピューター側が使用しなければならないデータとリソースの量は極わずかであり、リクエストされたWebページを含むレスポンスのプロセス(ログイン資格情報の確認、データベースからの関連ユーザーデータの読み込み)で消費されるリソースの量とは釣り合いが取れません。
ログインがない場合でも、クライアントからリクエストを受信するサーバーは、多くの場合Webページを作成するためにデータベースクエリまたは他のAPIコールを行う必要があります。ボットネット攻撃中など、多くのデバイスが単一のWebプロパティを標的とする結果としてこの格差が拡大すると、その影響により標的のサーバーが圧倒され、正当なトラフィックに対するサービス拒否が発生する可能性があります。多くの場合、サービスをオフラインにするには、L7攻撃でAPIを標的にするだけで十分です。
攻撃トラフィックと通常のトラフィックを区別するのは、特に、被害者のサーバーに対して HTTPフラッド攻撃を実行するボットネットなどのアプリケーション層攻撃の場合は困難です。ボットネット内のそれぞれのボットは一見正当なネットワークリクエストを行うため、トラフィックはスプーフされたものではなく、発信元が「正常」に見える場合があります。
アプリケーション層攻撃には、定期的に変動する可能性がある特定のルールに基づいてトラフィックを制限する機能を含む適応戦略が必要です。適切に構成されたWAFなどのツールは、発信元サーバーに伝えられるトラフィックの量を軽減し、DDoS試行の影響を大幅に減らします。
SYN フラッドやNTP 増幅などのリフレクション攻撃などの他の攻撃では、ネットワーク自体がトラフィックを受信するための帯域幅を持っている場合、トラフィックをかなり効率的に廃棄する戦略を使用できます。残念ながら、ほとんどのネットワークでは 300 Gbps の増幅攻撃を受けることができず、L7 攻撃によって生成されるアプリケーション層リクエストの量を適切にルーティングして処理できるネットワークは少なくなります。
1つの方法は、ボットかどうかをテストするために、ネットワークリクエストを行うデバイスに対して挑戦を実装することです。これは、オンラインでアカウントを作成するときによく見られるCAPTCHAテストによく似たテストで実行されます。JavaScriptの計算課題などのリクエストを与えることにより、多くの攻撃を軽減できます。
HTTPフラッドを阻止する他の手段には、Webアプリケーションファイアウォールの使用、IP Reputation データベース、およびエンジニアによるオンザフライネットワーク分析によるトラフィックの管理とフィルタリングが含まれます。
ネットワーク上の数百万人のユーザーに対応できる規模という強みを備えたCloudflareは、さまざまな送信元からのトラフィックを分析する機能があり、発生する前または他に標的を変更する前に、絶えず更新されるWAFルールおよびその他の軽減戦略で潜在的な攻撃を軽減します。CloudflareのDDoS高度な保護サービスをご覧ください。