DDoS攻撃の仕組み
分散型サービス拒否(DDoS)攻撃は、サーバー、サービス、またはネットワークに不要なインターネットトラフィックを送りつけて過負荷状態とすることで、その運用を妨害するものです。これらの攻撃は、最悪の場合、Webサイトやネットワーク全体を長時間にわたって運用不能に陥れる可能性があります。
DDoS攻撃は、悪意のあるトラフィックを複数のコンピュータやマシンを介して標的に向けることで機能します。多くの場合、これらのマシンはボットネットを形成しています。ボットネットとは、マルウェアに感染し、1人の攻撃者によってコントロールできるようになったデバイスがグループ化されたものです。その他のDDoS攻撃には、複数の攻撃者が関与するものや、DDoS攻撃用のツール(ストレステストアプリであるLOICなど)を使用したもの、またはローアンドスロー攻撃用のプログラム(Slowlorisなど)を使用したものがあります。
攻撃者は、標的をDDoS攻撃するために、以下の戦略の1つまたは組み合わせて使用する可能性があります:
- アプリケーション層攻撃:レイヤー7DDoS攻撃とも呼ばれます。標的のサーバーやネットワークリソースを、正当に見えるHTTPリクエストで過負荷状態に陥れることで、サービス拒否を引き起こします。
- プロトコル攻撃(State-exhaustion攻撃):レイヤー3または4のプロトコル(ICMPなど)を使用して、ターゲットに不要なトラフィックを送りつけ、ネットワーク機器とインフラストラクチャを過負荷状態に陥れます。
- 帯域幅消費型攻撃:増幅技術(ボットネットの展開や一般的なネットワークプロトコルの悪用など)を使用して標的の利用可能な帯域幅をすべて消費します。
DDoS攻撃で採用される戦術の詳細については、分散サービス妨害(DDoS)攻撃とは何か?をお読みください。
サインアップ
すべてのCloudflareプランに含まれる無料SSL
DDoS攻撃を防ぐ方法
DDoS攻撃の防止は、特にトラフィックの多い時間帯や、ネットワークアーキテクチャが広大かつ分散した環境では困難な場合があります。真に積極的にDDoS脅威を防御するには、攻撃対象領域を縮小したり、脅威を監視したり、拡張可能なDDoS軽減ツールを使用するなどの行動を起こす必要があります。
DDoS攻撃の防御方法
- 攻撃対象領域の縮小:攻撃対象領域の露出を制限することで、DDoS攻撃の影響を最小限に抑えます。露出を減らすためのいくつかの方法には、特定の場所へのトラフィックの制限、ロードバランサーの実装、旧時代または未使用のポート、プロトコル、アプリケーションからの通信をブロックする、などが挙げられます。
- エニーキャストネットワークの拡大:エニーキャストネットワークは、組織のネットワークの表面積を増やし、トラフィックを複数の分散サーバーに分散させることで、急増したトラフィックを吸収し、機能停止を防ぎます。
- リアルタイムの適応型脅威監視:ログ監視は、ネットワークトラフィックのパターンを分析し、トラフィックの急増やその他の異常なアクティビティを監視し、異常なリクエストや悪意のあるリクエスト、プロトコル、IPブロックから防御するように適応することで、潜在的な脅威を特定します。
- キャッシュ保存:キャッシュは、リクエストされたコンテンツのコピーを保存することで、配信元サーバーのリクエスト処理数を低減します。コンテンツ配信ネットワーク(CDN)を使用してリソースをキャッシュすることで、組織のサーバーへの負担を軽減し、正当なリクエストと悪意のあるリクエストのどちらからもサーバーを過負荷状態になりにくくします。
- レート制限:レート制限は特定の時間帯におけるネットワークトラフィックの量を制限し、特定のIPアドレスからのリクエストによってWebサーバーが過負荷状態になることを本質的に防ぎます。レート制限は、ボットネットを使用して一度に異常な量のリクエストをエンドポイントに送りつけるDDoS攻撃の防御に有用です。
DDoS防止ツール
- Webアプリケーションファイアウォール(WAF):WAFは、自由に設定できるポリシーを使用して、Webアプリケーションとインターネット間を移動する悪意のあるHTTPトラフィックをフィルタリング、検査、ブロックすることで、攻撃をブロックします。WAFを使用することで、企業は特定の場所やIPアドレスからの受信トラフィックを制御するホワイトリスト型、ブラックリスト型のセキュリティモデルの実装が可能になります。
- 常時稼働型DDoS軽減:DDoS軽減の提供業者は、ネットワークトラフィックを継続的に分析し、新たな攻撃パターンに対応したポリシー変更を実装し、広範で信頼性の高いデータセンターのネットワークを提供することで、DDoS攻撃を防ぎます。クラウドベースのDDoS軽減サービスを評価する際には、高度な帯域幅消費型攻撃にも対できる適応性、拡張性、常時稼働型の脅威防御を提供するプロバイダーを探してください。
DDoS軽減ツールと戦略についてのより詳細な情報については、DDoS軽減とは何か?をお読みください。
レポート
2023年第4四半期のDDoS脅威状況レポートを読む
CloudflareがDDoS攻撃を防ぐ方法
Cloudflareは、標的となるアプリケーション、ネットワーク、インフラストラクチャに攻撃が到達する前に、攻撃を監視、防止、緩和する、L3~7に対応した統合型のDDoS攻撃対策を提供します。以下に、階層型脅威防御の主な利点を紹介します:
攻撃にお困りですか?Cloudflareのサイバー緊急ホットラインに今すぐDDoS攻撃対策をご依頼ください。