High Orbit Ion Cannon(高軌道イオン砲)は、攻撃者がHTTPトラフィックを使用してDoS攻撃やDDoS攻撃を仕掛けることができるようにするものです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
High Orbit Ion Cannonは、被害者のネットワークをWebトラフィックであふれさせ、Webサイトまたはサービスをシャットダウンすることを目的とする DoS および DDoS攻撃を起動するために使用される一般的なツールです。これは、ハクティビストグループのAnonymousによって開発されたオープンソースソフトウェアの簡単に入手可能な部分であり、Low Orbit Ion Cannon(両方ともSFビデオゲームの武器にちなんで名付けられた)と呼ばれる古いDDoSツールの後継です。ほとんどの悪意のあるソフトウェアツールには高度な技術スキルが必要ですが、HOICはシンプルで使いやすいインターフェイスを提供し、ボタンをクリックするだけで有効にできます。
多くの悪意のある不正な攻撃で使用されていますが、HOICは、自分のネットワークに「ストレステスト」を実装したいユーザー向けの正当なテストツールとしてアプリケーションを持っているため、依然として合法的に利用可能です。
HOICは、アプリケーション層のHTTP Flood DDoS攻撃を介して動作し、サーバーのリクエスト容量を過負荷にする目的で、HTTP「GET」および「POST」リクエストで被害者のサーバーをいっぱいにします。高度な攻撃では、カスタムスクリプトを使用して、被害者のサイトの複数のサブドメインを一度に標的にすることができます。HOICは最大256のサイトを同時に標的にできるため、ユーザーは同時攻撃を調整できます。複数の攻撃者が多くの異なるページとドメインを一度に標的とするこの「ショットガンアプローチ」により、軽減と検出の作業がはるかに困難になります。
組み込みのブースタースクリプトは、攻撃者が検出を回避するのにも役立ちます。ブースタースクリプトに加えて、多くのHOICユーザーは、スウェーデンのプロキシを使用してロケーションを難読化します(その国の厳格なインターネット個人情報保護方針のためにスウェーデンを選択すると考えられています)。
HOICで深刻な攻撃を開始するには、約50人の異なるユーザーが同じ標的に同時に攻撃を開始する必要があるため、調整が必要です。匿名は、2012年にHOICがいくつかの主要なレコード会社、RIAA、さらにはFBIに対しても攻撃を開始したときに、HOICの有効性を実証しました。これは史上最大のDDoS攻撃の1つであり、HOICを同時に使用する推定27,000台のコンピューターが必要でした。
HOICからの HTTPフラッド攻撃を軽減するためのいくつかの戦略が存在します。IPレピュテーションフィルタリング(IPRF)は、既知の悪意のあるIPアドレスのデータベースに対して着信 IPアドレスを確認し、ネットワークからのトラフィックを維持する予防手段です。Webアプリケーションファイアウォール(WAF)は、疑わしい量のリクエストを行っているIPアドレスからのトラフィックをドロップするレート制限ルールを設定できます。また、captcha検証や、ユーザー体験を中断せずに単純な数学の問題を解決するようにWebブラウザにリクエストするという、より洗練された方法など、Webクライアントが正当かどうかをテストする方法もあります。
HOIC攻撃からの保護は、ほとんどのDDoS攻撃対策製品およびサービスに含まれている必要があります。Cloudflareが提供するようなWAFを含む包括的なDDoS攻撃対策計画は、HOICによって開始された攻撃など、7層攻撃に対する強力な防御を提供します。