DDoSの手法|DoSやDDoS攻撃のツール

攻撃者はどのようにしてWebサーバーに過剰な負荷をかけ、Webプロパティへのアクセスをシャットダウンするのでしょうか?

Share facebook icon linkedin icon twitter icon email icon

DDoSの手法

学習目的

この記事を読み終えると、以下のことができます。

  • DoSとDDoS攻撃の定義
  • 頻繁に使用されるDoSやDDoSツールの説明
  • DDoS攻撃ツールから防御する方法

DoS攻撃とDDoS攻撃とは?

サービス妨害(DoS)攻撃と分散型サービス妨害(DDoS)攻撃は、大量のインターネットトラフィックで、標的とするサーバーやサービス、ネットワークリソースを消費し、正規のトラフィックを妨害しようとする悪意のある行為のことです。

DoS攻撃は、1台のマシン(たいていは1台のコンピューター)から悪意のあるトラフィックを送信して、正常に利用できなくなる状態にします。DoS攻撃の中でもシンプルなpingフラッド攻撃は、標的とするサーバーが効率的に処理・応答できないほど多くのICMP(ping)リクエストを送信するだけです。

その一方で、DDoS攻撃では、標的に向けて悪意のあるトラフィックを送信するために複数のマシンを使います。こうしたマシンがボットネットマルウェアに感染したコンピューターやその他のデバイスの集合体)の一部であることも多く、1人の攻撃者がリモートでコントロールできます。また、複数の攻撃者が連携して、それぞれのコンピューターからトラフィックを送信してDDoS攻撃を仕掛けることもあります。

現状、DDoS攻撃は、インターネットでより多く発生し、損害を生じさせています。これには2つの理由が挙げられます。1つ目の理由は、最新のセキュリティツールは進化を経て、ありふれたDoS攻撃は阻止できるためです。2つ目の理由は、DDoS攻撃ツールが比較的安価となり、操作が簡単になっているためです。

DoS/DDoS攻撃ツールの分類とは?

DoS/DDoS攻撃を実行するために調整できるツールや、そのためだけに設計されたツールなど多数存在します。前者のタイプは「ストレッサー」です。セキュリティ研究者やネットワークエンジニアが自分が管理するネットワークに対してストレステストを行うためと謳われていますが、本物の攻撃を実行するためにも使用できます。

OSI参照モデルの特定の層に特化した攻撃を行うものもあれば、複数の攻撃ベクトルを狙えるよう設計されたものもあります。攻撃ツールのカテゴリーには以下が含まれます。

パスワードスプレー(low-and-slow)攻撃のツール

名前からもわかる通り、こうした種類の攻撃ツールは少量のデータを使用し、非常に低速で動作します。標的のサーバーのポートをできるだけ長く開いておくために複数の接続で少量のデータを送信するように設計されており、追加の接続が維持できなくなるまでサーバーのリソースを使い続けます。他のものとは異なり、パスワードスプレー(low-and-slow)攻撃はボットネットなどの分散型システムを用いなくても効果的な場合があるため、単一のマシンでよく使われます。

アプリケーション層(第7層)攻撃のツール

これらのツールはOSIモデルの第7層を標的としています。この層は、HTTPといったインターネットベースのリクエストが発生する場所です。HTTP GETリクエストやPOSTリクエストで標的とするサイトをダウンさせるために、HTTPフラッド攻撃の一種を使用することで、悪意のある攻撃者は、実際の訪問者が作成する通常のリクエストと区別がつきにくい攻撃トラフィックを送ることができます。

プロトコル/トランスポート層(第3/4層)攻撃のツール

プロトコルスタックの層をさらに下に行き、これらのツールはUDPのようなプロトコルを利用して、UDPフラッド中などに大量のトラフィックを攻撃対象のサーバーに送ります。この攻撃は個別では効果がないことがほとんどですが、通常、攻撃に使うマシンが増えることで効果が増すDDoS攻撃の形で検出されます。

よく利用されるDoS/DDoS攻撃のツールとは?

一般的によく利用されるツールは次の通りです。

Low Orbit Ion Cannon(LOIC)

LOICはオープンソースのストレステストアプリケーションです。TCPおよびUDPプロトコル層の攻撃を使いやすいWYSIWYGインターフェイスを用いて実行することができます。このオリジナルツールの人気が出たことをうけ、Webブラウザを利用した攻撃を実行できる派生ツールも生まれました。

High Orbit Ion Cannon(HOIC)

この攻撃ツールは、機能を拡張しカスタマイズ性を追加することでLOICに代えるために作られました。HTTPプロトコルを利用することで、HOICは軽減することが難しい標的型攻撃を開始します。このソフトウェアは、少なくとも50人が組織的な攻撃を一緒に行えるよう設計されています。

Slowloris

Slowloris(スローロリス)は、パスワードスプレー(low-and-slow)攻撃を標的とするサーバーで発生させるよう設計されたアプリケーションです。比較的限られた量のリソースで損害を引き起こすことが可能です。

R.U.D.Y(R-U-Dead-Yet)

R.U.D.Y.はもう1つのパスワードスプレー(low-and-slow)攻撃ツールで、シンプルなポイントアンドクリック操作のインターフェイスを用いてユーザーが簡単に攻撃を仕掛けられるよう設計されています。複数のHTTP POSTリクエストを開いて、接続をできるだけ長く開いたままにすることで、この攻撃はゆっくりとターゲットのサーバーをダウンさせようとします。

DoS/DDoSツールから防御するにはどうすればいいですか?

DoS攻撃もDDoS攻撃もさまざまな形で行われるため、軽減にはさまざまな戦略が必要となります。DDoS攻撃を阻止するための戦略には次のようなものが挙げられます。

  • レート制限:一定期間にサーバーが受け入れるリクエストの数を制限する
  • Web application firewall:一連のルールに基づいてWebトラフィックをフィルタリングするツール
  • Anycast Networkによる拡散:サーバーと着信するトラフィックの間に大規模で分散されたクラウドネットワークを配置し、リクエストに応答する追加のコンピューティングリソースを提供します。

Cloudflareはこうした戦略をすべて適用し、最大規模で最も複雑なDoS攻撃とDDoS攻撃を防御します。CloudflareのDDoS対策やその機能について詳しくお読みください。