DDoSの手法|DoSやDDoS攻撃のツール

攻撃者はどのようにしてWebサーバーに過剰な負荷をかけ、Webプロパティへのアクセスをシャットダウンするのでしょうか?

Share facebook icon linkedin icon twitter icon email icon

DDoSの手法

学習目的

この記事を読み終えると、以下のことができます。

  • DoSとDDoS攻撃の定義
  • サービス妨害攻撃の実施方法の理解
  • DoSやDDoS攻撃ツールのカテゴリーの理解
  • よく利用されるDoSやDDoSツールの列挙
  • DDoS攻撃を行う際の法的リスクの詳細確認

DoSとDDoS

サービス妨害(DoS)攻撃はDDoS攻撃の先駆けです。歴史上、DoS攻撃はネットワーク上にあるコンピューターシステムを崩壊させる主な手段でした。DoS攻撃は1台のマシンから発生し、非常にシンプルなものもあります。基本的なpingフラッド攻撃ICMP(ping)リクエストをターゲットのサーバーに送信することで実現することができ、効率的に処理、応答することが可能です。ネットワークに接続したマシンを利用する人なら、内蔵のターミナルコマンドを使用することで誰でもこの種の攻撃を起動することができます。より複雑なDoS攻撃には、今はほぼ使われていませんがPing of Death攻撃などパケットのフラグメンテーション利用に関わるものもあります。

サービス妨害(DoS)攻撃はDDoS攻撃の先駆けです。歴史上、DoS攻撃はネットワーク上にあるコンピューターシステムを崩壊させる主な手段でした。DoS攻撃は1台のマシンから発生し、非常にシンプルなものもあります。基本的なpingフラッド攻撃ICMP(ping)リクエストをターゲットのサーバーに送信することで実現することができ、効率的に処理、応答することが可能です。


ネットワークに接続したマシンを利用する人なら、内蔵のターミナルコマンドを使用することで誰でもこの種の攻撃を起動することができます。より複雑なDoS攻撃には、今はほぼ使われていませんがPing of Death攻撃などパケットのフラグメンテーション利用に関わるものもあります。


複数のコンピューターやその他のデバイスがすべて同じ被害者をターゲットとする攻撃は、その分散型設計によりDDoS攻撃と見なされています。2つの攻撃を比較すると、DDoS攻撃のほうが現代のインターネット上でより普及しており、損害を与えています。大量のインターネットトラフィックをターゲットに送信することのできる悪意あるマシンを購入したり作成したりすることが比較的簡単なため、悪者はボットネットなどのデバイスネットワークを利用してターゲットにリクエストを大量に送ることができます。マルウェアに感染したマシンの大規模なネットワークを利用することで、悪意のある者は多数のコンピューターシステムの攻撃トラフィックを活用できます。セキュリティの貧弱なモノのインターネット(IoT)デバイスの登場に伴い、より多くの電子ハードウェアが不正目的で乗っ取られる可能性があります。

複数のコンピューターやその他のデバイスがすべて同じ被害者をターゲットとする攻撃は、その分散型設計によりDDoS攻撃と見なされています。2つの攻撃を比較すると、DDoS攻撃のほうが現代のインターネット上でより普及しており、損害を与えています。


大量のインターネットトラフィックをターゲットに送信することのできる悪意あるマシンを購入したり作成したりすることが比較的簡単なため、悪者はボットネットなどのデバイスネットワークを利用してターゲットにリクエストを大量に送ることができます。


マルウェアに感染したマシンの大規模なネットワークを利用することで、悪意のある者は多数のコンピューターシステムの攻撃トラフィックを活用できます。セキュリティの貧弱なモノのインターネット(IoT)デバイスの登場に伴い、より多くの電子ハードウェアが不正目的で乗っ取られる可能性があります。


すべての分散型攻撃にボットネットが関わっているわけではありません。利用可能なコンピューターリソースを共有して共に作業をするボランティアを利用して共通の目的に参加させる攻撃ツールもあります。ハッカーグループ、AnonymousはDoSおよびDDoSツールを積極的な関係者と組み合わせて、まさにこの目的で使用しています。

DoS/DDoS攻撃ツールの分類とは?

インターネット上には無料で利用できるさまざまな攻撃ツールや「ストレッサー」が多くあります。こういったツールの中核には、正当な目的があるものもあります。それは、セキュリティ研究者やネットワークエンジニアが自分のネットワークに対してストレステストを実行するというものです。プロトコルスタックの特定の領域に注力するのみの特化型ツールがある一方で、複数の攻撃ベクトルを許容する設計のものもあります。


攻撃ツールは大きく次のグループに特徴付けられます。

パスワードスプレー(low-and-slow)攻撃のツール

名前からわかる通り、こういった種類の攻撃ツールはどちらも少量のデータを使用し、非常に低速で動作します。こういったツールはターゲットのサーバーのポートができる限り長く開かせておくために複数の接続で少量のデータを送信するよう設計されており、サーゲットのサーバーがさらなる接続を維持できなくなるまでサーバーリソースを利用し続けます。他のものとは異なり、パスワードスプレー攻撃はボットネットなどの分散型システムを用いなくても効果的である場合があり、単一のマシンでよく利用されます。

名前からわかる通り、こういった種類の攻撃ツールはどちらも少量のデータを使用し、非常に低速で動作します。こういったツールはターゲットのサーバーのポートができる限り長く開かせておくために複数の接続で少量のデータを送信するよう設計されており、サーゲットのサーバーがさらなる接続を維持できなくなるまでサーバーリソースを利用し続けます。


他のものとは異なり、パスワードスプレー攻撃はボットネットなどの分散型システムを用いなくても効果的である場合があり、単一のマシンでよく利用されます。

アプリケーション層(第7層)攻撃のツール

これらのツールはHTTPなどといったインターネットベースのリクエストが発生する場所である、OSIモデルの第7層をターゲットとしています。ターゲットをHTTPのGETやPOSTリクエストで制圧するためにHTTPフラッド攻撃の一種を使用することで、悪意のある攻撃者は実際の訪問者が作成する通常のリクエストと区別がつきにくい攻撃トラフィックを送ることができます。

プロトコル/トランスポート層(第3/4層)攻撃のツール

プロトコルスタックをさらに下に進むと、これらのツールがUDPのようなプロトコルを利用して、UDPフラッド中などに大量のトラフィックをターゲットサーバーに送信します。個別では効果がないことがほとんどですが、この攻撃は通常攻撃マシンが増えることで効果が増すDDoS攻撃の形で検出されます。

よく利用されるDoS/DDoS攻撃のツールとは?

一般的に利用されるツールには次のものが挙げられます。

Low Orbit Ion Cannon(LOIC)

LOICはオープンソースのストレステストアプリケーションです。TCPやUDPプロトコル層の両方の攻撃をユーザーフレンドリーなWYSIWYGインターフェイスを用いて実行することができます。オリジナルツールの人気があったため、Webブラウザを利用した攻撃が行える派生ツールも作成されました。

High Orbit Ion Cannon (HOIC)

この攻撃ツールは、機能を拡張しカスタマイズ性を追加することでLOICに置き換わる目的で作られました。HTTPプロトコルを利用することで、HOICは軽減することが困難な攻撃を仕掛けることができます。このソフトウェアは少なくとも50人が組織的な攻撃を一緒に行えるよう設計されています。

Slowloris

動きの遅い動物、スローロリスとは異なり、このSlowlorisはターゲットサーバーにパスワードスプレー攻撃を仕掛けるように設計されたアプリケーションです。Slowlorisの上品なところは、損害効果を作り出すために必要なリソースが制限されているというところです。

R.U.D.Y(R-U-Dead-Yet)

R.U.D.Y.はもう1つのパスワードスプレー攻撃用ツールで、シンプルなマウス操作のみのインターフェイスを用いてユーザーが簡単に攻撃を仕掛けられるよう設計されています。複数のHTTP POSTリクエストを開いてそれらの接続をできるだけ長く開いたままにすることで、この攻撃はゆっくりとターゲットのサーバーを制圧しようとします。