DDoS攻撃を防ぐ方法|方法とツール

攻撃対象領域の縮小、リアルタイムの脅威検知、常時稼働のDDoS軽減により、標的とされたインフラストラクチャやシステムに攻撃が到達する前に攻撃を防ぐことができます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • DDoS攻撃の仕組みを説明する
  • DDoS攻撃に対する防御戦略を見る
  • Cloudflareが攻撃を防ぐ方法を学ぶ

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

DDoS攻撃の仕組み

分散型サービス拒否(DDoS)攻撃は、サーバー、サービス、またはネットワークに不要なインターネットトラフィックを送りつけて過負荷状態とすることで、その運用を妨害するものです。これらの攻撃は、最悪の場合、Webサイトやネットワーク全体を長時間にわたって運用不能に陥れる可能性があります。

DDoS攻撃は、悪意のあるトラフィックを複数のコンピュータやマシンを介して標的に向けることで機能します。多くの場合、これらのマシンはボットネットを形成しています。ボットネットとは、マルウェアに感染し、1人の攻撃者によってコントロールできるようになったデバイスがグループ化されたものです。その他のDDoS攻撃には、複数の攻撃者が関与するものや、DDoS攻撃用のツール(ストレステストアプリであるLOICなど)を使用したもの、またはローアンドスロー攻撃用のプログラム(Slowlorisなど)を使用したものがあります。

攻撃者は、標的をDDoS攻撃するために、以下の戦略の1つまたは組み合わせて使用する可能性があります:

  1. アプリケーション層攻撃レイヤー7DDoS攻撃とも呼ばれます。標的のサーバーやネットワークリソースを、正当に見えるHTTPリクエストで過負荷状態に陥れることで、サービス拒否を引き起こします。
  2. プロトコル攻撃State-exhaustion攻撃):レイヤー3または4のプロトコル(ICMPなど)を使用して、ターゲットに不要なトラフィックを送りつけ、ネットワーク機器とインフラストラクチャを過負荷状態に陥れます。
  3. 帯域幅消費型攻撃:増幅技術(ボットネットの展開や一般的なネットワークプロトコルの悪用など)を使用して標的の利用可能な帯域幅をすべて消費します。

DDoS攻撃で採用される戦術の詳細については、分散サービス妨害(DDoS)攻撃とは何か?をお読みください。

攻撃を受けていますか?
包括的なサイバー攻撃対策

DDoS攻撃を防ぐ方法

DDoS攻撃の防止は、特にトラフィックの多い時間帯や、ネットワークアーキテクチャが広大かつ分散した環境では困難な場合があります。真に積極的にDDoS脅威を防御するには、攻撃対象領域を縮小したり、脅威を監視したり、拡張可能なDDoS軽減ツールを使用するなどの行動を起こす必要があります。

DDoS攻撃の防御方法

  • 攻撃対象領域の縮小:攻撃対象領域の露出を制限することで、DDoS攻撃の影響を最小限に抑えます。露出を減らすためのいくつかの方法には、特定の場所へのトラフィックの制限、ロードバランサーの実装、旧時代または未使用のポート、プロトコル、アプリケーションからの通信をブロックする、などが挙げられます。
  • エニーキャストネットワークの拡大:エニーキャストネットワークは、組織のネットワークの表面積を増やし、トラフィックを複数の分散サーバーに分散させることで、急増したトラフィックを吸収し、機能停止を防ぎます。
  • リアルタイムの適応型脅威監視:ログ監視は、ネットワークトラフィックのパターンを分析し、トラフィックの急増やその他の異常なアクティビティを監視し、異常なリクエストや悪意のあるリクエスト、プロトコル、IPブロックから防御するように適応することで、潜在的な脅威を特定します。
  • キャッシュ保存:キャッシュは、リクエストされたコンテンツのコピーを保存することで、配信元サーバーのリクエスト処理数を低減します。コンテンツ配信ネットワーク(CDN)を使用してリソースをキャッシュすることで、組織のサーバーへの負担を軽減し、正当なリクエストと悪意のあるリクエストのどちらからもサーバーを過負荷状態になりにくくします。
  • レート制限:レート制限は特定の時間帯におけるネットワークトラフィックの量を制限し、特定のIPアドレスからのリクエストによってWebサーバーが過負荷状態になることを本質的に防ぎます。レート制限は、ボットネットを使用して一度に異常な量のリクエストをエンドポイントに送りつけるDDoS攻撃の防御に有用です。

DDoS防止ツール

  • Webアプリケーションファイアウォール(WAF):WAFは、自由に設定できるポリシーを使用して、Webアプリケーションとインターネット間を移動する悪意のあるHTTPトラフィックをフィルタリング、検査、ブロックすることで、攻撃をブロックします。WAFを使用することで、企業は特定の場所やIPアドレスからの受信トラフィックを制御するホワイトリスト型、ブラックリスト型のセキュリティモデルの実装が可能になります。
  • 常時稼働型DDoS軽減:DDoS軽減の提供業者は、ネットワークトラフィックを継続的に分析し、新たな攻撃パターンに対応したポリシー変更を実装し、広範で信頼性の高いデータセンターのネットワークを提供することで、DDoS攻撃を防ぎます。クラウドベースのDDoS軽減サービスを評価する際には、高度な帯域幅消費型攻撃にも対できる適応性、拡張性、常時稼働型の脅威防御を提供するプロバイダーを探してください。

DDoS軽減ツールと戦略についてのより詳細な情報については、DDoS軽減とは何か?をお読みください。

CloudflareがDDoS攻撃を防ぐ方法

Cloudflareは、標的となるアプリケーション、ネットワーク、インフラストラクチャに攻撃が到達する前に、攻撃を監視、防止、緩和する、L3~7に対応した統合型のDDoS攻撃対策を提供します。以下に、階層型脅威防御の主な利点を紹介します:

攻撃にお困りですか?Cloudflareのサイバー緊急ホットラインに今すぐDDoS攻撃対策をご依頼ください。