DDoSブースター/IPストレッサーとは?|DDoS攻撃のツール

SaaSパッケージになったDDoS攻撃が手頃な価格で利用できます。

Share facebook icon linkedin icon twitter icon email icon

DDoSブースター

学習目的

この記事を読み終えると、以下のことができます。

  • ブースターやIPストレッサーについての学習
  • DDoS攻撃ツールの理解
  • ビジネスモデルとしての犯罪の理解

IPストレッサーとは?

IPストレッサーは、ネットワークまたはサーバーの堅牢性をテストするために設計されたツールです。管理者は、ストレステストを実行して、既存のリソース(帯域幅、CPUなど)が追加の負荷を処理するのに十分かどうかを判断できます。

自分のネットワークまたはサーバーのテストは、ストレッサーの合法的な使用です。他の誰かのネットワークまたはサーバーに対してそれを実行すると、正当なユーザーに対してのサービス拒否が発生し、ほとんどの国では違法です。

ブースターサービスとは?

ブートプログラムは、ブータサービスとも呼ばれ、オンデマンドのDDoS (Distributed-Denial-of-Service)攻撃サービスです。組織的犯罪者が提供し、Webサイトやネットワークをダウンさせます。つまり、ブートプログラムはIPストレッサーの不正使用です。

不正なIPストレッサーは、多くの場合、プロキシサーバーを使用して攻撃サーバーのIDを隠します。プロキシは、攻撃者のIPアドレスをマスクしながら、攻撃者の接続を再ルーティングします。

ブートプログラムは、 SaaS(Software-as-a-Service)としてスマートにパッケージされており、多くの場合、メールサポートとYouTubeチュートリアルが付属しています。パッケージには、1回限りのサービス、定義された期間内の複数の攻撃、さらには「一生分」のアクセスが含まれることもあります。基本的な1か月のパッケージの費用はわずか$19.99です。支払いオプションには、クレジットカード、Skrill、PayPal、またはBitcoinが含まれる場合があります(ただし、悪意のある意図が証明された場合、PayPalはアカウントをキャンセルします)。

IPブースターとボットネットの違いとは?

ボットネットは、所有者がマルウェアの感染に気づかないまま、インターネット攻撃で使用されているコンピューターのネットワークです。ブートプログラムは、レンタル側DDoSサービスです。

従来、ブースターはボットネットを使って攻撃を仕掛けていましたが、精緻になるにつれて(一部のブースターサービスが言及しているように)「攻撃実行に役立てる」ため、より強力なサーバーを保有するようになっています。

サービス妨害攻撃の背景にある動機とは?

サービス拒否攻撃の背後にある動機は多様です。ハッキングスキルを試すSkiddie*、競合他社、イデオロギーの対立、政府が支援するテロ、または恐喝など。恐喝攻撃の支払いには、PayPalやクレジットカードが好まれます。ビットコインも、身元を偽装する機能を提供するために使用されています。攻撃者の観点から見たビットコインの欠点の1つは、他の支払い方法と比較してビットコインを使用する人が少ないことです。

*スクリプトキディ、Skiddieは、ネットワークまたはWebサイトへの攻撃を開始するために他者が作成したスクリプトまたはプログラムを使用する、比較的スキルの低いインターネット上の乱暴者に対する軽蔑的な用語です。多くの場合、結果を考慮せずに、比較的よく知られた悪用されやすいセキュリティの脆弱性を狙います。

アンプ攻撃やリフレクション攻撃とは?

リフレクション攻撃やアンプ攻撃は、ターゲットのネットワークやサーバーを制圧するために正当なトラフィックを活用するものです。

攻撃者が被害者の IPアドレスを偽造し、被害者になりすまして第三者にメッセージを送信することを、 IPアドレススプーフィングと呼びます。第三者は、被害者のIPアドレスと攻撃者のIPアドレスを区別する方法がありません。被害者に直接返信します。攻撃者のIPアドレスは、被害者と第三者のサーバーの両方から隠されています。このプロセスはリフレクションと呼ばれます。

これは、攻撃者が被害者のふりをして被害者の家にピザを注文することに似ています。被害者は、注文もしていないピザの代金をピザ店に支払う羽目になります。

トラフィックの増幅は、攻撃者が可能な限り多くのデータを使用してサードパーティのサーバーに被害者に応答を返させることを強制する場合に発生します。応答と要求のサイズの比率は、増幅係数として知られています。この増幅が大きければ大きいほど、被害者の潜在的な混乱が大きくなります。サードパーティのサーバーも、処理する必要がある偽造されたリクエストの量が原因で中断されます。 NTP Amplification は、このような攻撃の一例です。

最も効果的なタイプのブートプログラム攻撃は、増幅とリフレクションの両方を使用します。最初に、攻撃者は標的のアドレスを偽装し、第三者にメッセージを送信します。第三者が応答すると、メッセージは偽装された標的のアドレスに送信されます。応答は元のメッセージよりもはるかに大きいため、攻撃の規模が拡大します。

このような攻撃における単一のボットの役割は、悪意のある十代の若者がレストランに電話をかけて、メニュー全品を注文し、さらに、一品ずつ確認する折り返し電話を要求するのと似ています。ここで、折り返し先の番号は被害者のものです。これにより、標的にされた被害者は、レストランから、自分が要求したのではない大量の情報を電話で受けることになります。

サービス妨害攻撃の種類とは?

アプリケーション層攻撃はWebアプリケーションを狙い、多くの場合、最も高度な方法を使用します。これらの攻撃は、まず標的との間に接続を確立し、プロセスやトランザクションを独占してサーバーリソースを使い果たすことで、第7層プロトコルスタックの弱点を悪用します。これらを特定して軽減するのは困難です。一般的な例は、HTTP Flood攻撃です。

プロトコルベース攻撃は、プロトコルスタックの第3層または第4層の脆弱性を悪用することに焦点を当てています。このような攻撃は、被害者または他の重要なリソース(ファイアウォールなど)の処理能力をすべて消費し、結果としてサービスが中断します。SynフラッドおよびPing of Deathはその例です。

帯域幅消費型攻撃では、被害者の帯域幅を飽和させるために大量のトラフィックを送信します。帯域幅消費型攻撃は、単純な増幅技術を使用することで簡単に生成できるため、最も一般的な攻撃形態です。 UDPフラッド、TCPフラッド、NTP増幅、およびDNS増幅はその例です。

よくあるサービス妨害攻撃とは?

DoSやDDoS攻撃の目的は、サーバーやネットワークリソースを十分に消費してシステムを正当なリクエストに対する応答不能状態にすることです。

  • SYNフラッド:一連のSYN要求を標的のシステムに送信し、システムを圧倒ようとします。この攻撃は、3ウェイハンドシェイクとして知られるTCP接続シーケンスの弱点を悪用します。
  • HTTP Flood HTTP GETまたはPOST要求を使用してWebサーバーを攻撃する攻撃の種類。
  • UDP FloodUDPデータグラムを含むIPパケットが標的のランダムポートを圧倒する攻撃のタイプ。
  • Ping of Death:攻撃では、IPプロトコルで許可されているよりも大きいIPパケットを意図的に送信します。 TCP/IPフラグメント化では、大きなパケットを小さなIPパケットに分割することで処理します。パケットが再構成されたときに、許容される65,536バイトよりも大きい場合、レガシーサーバーはしばしばクラッシュします。これは、新しいシステムではほぼ修正されています。 Ping Floodは、この攻撃の現在版の形です。
  • ICMPプロトコル攻撃:ICMPプロトコルへの攻撃で、応答が返信される前に、各要求がサーバによって処理される必要があるという事実を悪用します。SMURF攻撃、ICMPフラッド、およびpingフラッドは、応答を待たずにICMPリクエストでサーバーをあふれさせることにより、これを利用します。
  • Slowloris Robert 'RSnake' Hansenによって発明されたこの攻撃は、標的となるWebサーバーへの複数の接続を可能な限り開いたままにしようとします。最終的に、クライアントからの追加の接続試行は拒否されます。
  • DNSフラッド攻撃者が特定のドメインのDNSサーバをフラッディングし、そのドメインのDNS解決を崩壊させようとします。
  • ティアドロップ攻撃:標的デバイスへの断片化されたパケットの送信を伴う攻撃。TCP/IPプロトコルのバグにより、サーバーがそのようなパケットを再構成できなくなり、パケットが重複します。標的デバイスがクラッシュします。
  • DNS増幅:このリフレクションベースの攻撃は、DNS(ドメインネームシステム)サーバーへの正当な要求を、より大きな要求に変換することでサーバーリソースを消費します。
  • NTP増幅:攻撃者が標的のネットワークやサーバーを増幅したUDPトラフィックで圧倒するためにネットワークタイムプロトコル(NTP)サーバーの機能を悪用する、リフレクションベースの帯域幅消費型DDoS攻撃です。
  • SNMPリフレクション:攻撃者は被害者のIPアドレスを偽造し、デバイスへ複数の簡易ネットワーク管理プロトコル(SNMP)要求を一気に発生させます。返信の量が被害者を圧倒する可能性があります。
  • SSDP:SSDP(Simple Service Discovery Protocol)攻撃はリフレクションベースのDDoS攻撃で、標的の被害者へ増幅した量のトラフィックを送信するためにUniversal Plug and Play(UPnP)というネットワークプロトコルを悪用したものです。
  • SMURF攻撃:この攻撃は、SMURFと呼ばれるマルウェアプログラムを使用します。被害者のスプーフィングされたIPアドレスを持つ多数のインターネット制御メッセージプロトコル(ICMP)パケットが、IPブロードキャストアドレスを使用してコンピューターネットワークにブロードキャストされます。
  • Fraggle Attack: SMURFに似た攻撃ですが、ICMPではなくUDPを使用します。

DDoS攻撃を受けたらやるべきこととは?

  • データセンターやISPにすぐに知らせましょう
  • 身代金の支払いは絶対にしてはいけません。支払うことで身代金の要求がエスカレートします
  • 法執行機関に知らせましょう
  • ネットワークトラフィックを監視してください
  • Cloudflareの無料プランなど、DDoS対策プランを検討しましょう

ボットネットの軽減方法とは?

  • ファイアウォールをサーバーにインストールしてください
  • セキュリティパッチを最新にします
  • ウイルス対策ソフトをスケジュール実行します
  • システムログを定期的に監視します
  • 不明なメールサーバーにSMTPトラフィックを配信してはいけません

ブースターサービスを追跡しにくい理由とは?

これらの犯罪サービスを購入する人は、支払いにフロントエンドWebサイトを使用し、攻撃に関連する指示を出します。多くの場合、実際の攻撃を開始するバックエンドへの識別可能な接続はありません。したがって、犯罪の意図を証明するのは困難です。支払証跡を追跡することは、犯罪組織を追跡する1つの方法です。