アプリケーション層へのDDoS攻撃

アプリケーション層DDoS攻撃は、Webサイトまたはサービスへのトラフィックの通常の流れを妨害するために、インターネットのアプリケーション層を標的にします。

Share facebook icon linkedin icon twitter icon email icon

アプリケーション層への攻撃

学習目的

この記事を読み終えると、以下のことができます。

  • アプリケーション層(L7)攻撃の定義
  • アプリケーション層攻撃の仕組みの詳細
  • アプリケーション層の攻撃を軽減する方法について

アプリケーション層DDoS攻撃とは何ですか?

アプリケーション層攻撃又は7層 (L7) DDoS攻撃とは、HTTP GETやHTTP POSTなどの一般的なインターネットリクエストが発生するOSIモデルの「上位」層を標的とするように設計された悪意のある行動のことです。これらの7層攻撃は、 DNS増幅などのネットワーク層攻撃とは対照的に、ネットワークリソースに加えてサーバーリソースを消費するため、特に効果的です。

アプリケーション層への攻撃の仕組みは?

ほとんどのDDoS攻撃の根本的な効果は、攻撃を吸収または軽減するために必要なリソースの量に対する、攻撃を開始するために必要なリソースの量の不一致にあります。これはL7攻撃も同様ですが、標的のサーバーとネットワークの両方に影響を与える効率は、同じ破壊的な効果を達成するために必要な総帯域幅が少なくなります。アプリケーション層の攻撃は、より少ない総帯域幅でより大きな損害をもたらします。


これがなぜそうなのかを調べるために、リクエストを行うクライアントとリクエストに応答するサーバーとの相対的なリソース消費の違いを見てみましょう。 ユーザーがGmailアカウントなどのオンラインアカウントにログインするリクエストを送信する場合、ユーザーのコンピューターが使用しなければならないデータとリソースの量は最小限であり、ログイン資格情報の確認、データベースからの関連ユーザーデータの読み込み、リクエストされたWebページを含む応答の返信のプロセスで消費されるリソースの量に不釣り合いです。


ログインがない場合でも、クライアントからリクエストを受信するサーバーは、多くの場合Webページを作成するためにデータベースクエリまたは他のAPIコールを行う必要があります。ボットネット攻撃中など、多くのデバイスが単一のWebプロパティを標的とする結果としてこの格差が拡大すると、その影響により標的のサーバーが圧倒され、正当なトラフィックに対するサービス拒否が発生する可能性があります。多くの場合、サービスをオフラインにするには、L7攻撃でAPIを標的にするだけで十分です。

アプリケーション層DDoS攻撃を阻止することが難しいのはなぜですか?

攻撃トラフィックと通常のトラフィックを区別するのは、特に、被害者のサーバーに対して HTTPフラッド攻撃を実行するボットネットなどのアプリケーション層攻撃の場合は困難です。ボットネット内のそれぞれのボットは一見正当なネットワークリクエストを行うため、トラフィックはスプーフされたものではなく、発信元が「正常」に見える場合があります。


アプリケーション層攻撃には、定期的に変動する可能性がある特定のルールに基づいてトラフィックを制限する機能を含む適応戦略が必要です。適切に構成された WAF などのツールは、 発信元サーバーに伝えられるトラフィックの量を軽減し、DDoS試行の影響を大幅に減らします。


SYN フラッドNTP 増幅などのリフレクション攻撃などの他の攻撃では、ネットワーク自体がトラフィックを受信するための帯域幅を持っている場合、トラフィックをかなり効率的に廃棄する戦略を使用できます。残念ながら、ほとんどのネットワークでは 300 Gbps の増幅攻撃を受けることができず、L7 攻撃によって生成されるアプリケーション層リクエストの量を適切にルーティングして処理できるネットワークは少なくなります。

アプリケーション層攻撃を軽減するのに役立つ戦術は何ですか?

1つの方法は、 ボットかどうかをテストするために、ネットワークリクエストを行うデバイスに対して挑戦を実装することです。これは、オンラインでアカウントを作成するときによく見られる CAPTCHA テストによく似たテストで実行されます。JavaScriptの計算課題などのリクエストを与えることにより、多くの攻撃を軽減できます。


HTTPフラッドを阻止する他の手段には、Webアプリケーションファイアウォールの使用、IPレピュテーションデータベース、およびエンジニアによるオンザフライネットワーク分析によるトラフィックの管理とフィルタリングが含まれます。


ネットワーク上の数百万人のユーザーに対応できる規模という強みを備えたCloudflareは、さまざまな送信元からのトラフィックを分析する機能があり、発生する前または他に標的を変更する前に、絶えず更新されるWAFルールおよびその他の軽減戦略で潜在的な攻撃を軽減します。Cloudflareの DDoS高度な保護サービスご覧ください。