DDoS攻撃とは?

DDoS攻撃は今日のインターネットセキュリティにおける最大の懸念事項です。 DDoS攻撃が機能する方法やどうすれば阻止できるかを詳しく確認しましょう。

Share facebook icon linkedin icon twitter icon email icon

DDoS

学習目的

この記事を読み終えると、以下のことができます。

  • DDoS攻撃の定義
  • DDoS攻撃の一般的な構造の説明
  • DDoS攻撃の3つの主要カテゴリーの区別
  • 複数のDDoS対策戦略の理解

DDoS攻撃とは?

分散型サービス拒否(DDoS)攻撃は、インターネットトラフィックでいっぱいにして標的またはその周辺のインフラストラクチャを圧倒することにより、標的のサーバー、サービス、またはネットワークの通常のトラフィックを妨害する悪意のある試みです。 DDoS攻撃は、複数の侵害されたコンピューターシステムを攻撃トラフィックの送信元として利用することにより、効果を達成します。悪用された機械には、コンピューターや IoTデバイスなどのネットワークリソースが含まれます。高いレベルから見ると、DDoS攻撃は、高速道路で交通渋滞が起こっているようなもので、通常のトラフィックが目指している目的地に到着するのを防止します。

DDoS Attack

DDoS攻撃の仕組みとは?

DDoS攻撃では、攻撃者が攻撃を実行するためにオンライン機械のネットワークを制御する必要があります。コンピューターやその他の機械(IoTデバイスなど)はマルウェアに感染しており、それぞれがボット(またはゾンビ)になります。その後、攻撃者はボットネットと呼ばれるボットのグループをリモートで制御できます。

ボットネットが確立されると、攻撃者はリモート制御の方法を介してそれぞれのボットに更新された命令を送信することにより、機械を誘導できます。被害者の IPアドレスがボットネットの標的になっている場合、各ボットは標的にリクエストを送信することで応答し、標的のサーバーまたはネットワークが容量をオーバーフローさせ、通常のトラフィックに対してサービス拒否を引き起こす可能性があります。それぞれのボットは正当なインターネットデバイスであるため、攻撃トラフィックを通常のトラフィックから分離することは困難です。

一般的なDDoS攻撃の種類とは?

さまざまなDDoS攻撃ベクトルは、ネットワーク接続のさまざまなコンポーネントを標的にします。さまざまなDDoS攻撃がどのように機能するかを理解するには、ネットワーク接続の確立方法を知る必要があります。インターネット上のネットワーク接続は、多くの異なるコンポーネントまたは「層」で構成されています。家を一から構築するように、モデルの各ステップには異なる目的があります。以下に示す OSIモデルは、7つの異なる層でネットワーク接続を記述するために使用される概念的なフレームワークです。

The OSI Model

ほとんどすべてのDDoS攻撃は、トラフィックで標的のデバイスまたはネットワークを圧倒することを伴いますが、攻撃は3つのカテゴリに分類できます。攻撃者は、1つまたは複数の異なる攻撃ベクトルを利用したり、標的がとった対策に基づいて攻撃ベクトルを循環させたりする可能性があります。

アプリケーション層への攻撃

攻撃の目的:

7層 DDoS攻撃(OSIモデルの7層を参照)と呼ばれることもありますが、これらの攻撃の目標は標的のリソースを使い果たすことです。この攻撃は、サーバー上でWebページが生成され、 HTTP リクエストに応じて配信される層を標的としています。単一のHTTPリクエストは、クライアント側で実行するのが安価であり、サーバーがWebページを作成するために複数のファイルを読み込み、データベースクエリを実行する必要があるため、標的のサーバーが応答するのに費用がかかります。7層攻撃は、トラフィックを悪意のあるものとしてフラグを立てることが難しいため、防御が困難です。

アプリケーション層への攻撃例:

HTTPフラッド

この攻撃は多数の異なるコンピューター上にあるWebブラウザで一度に何度も更新ボタンを押す行為に似ています。つまり多数のHTTPリクエストがサーバーに押し寄せ、結果としてサービス妨害になるものです。

このタイプの攻撃は、単純なものから複雑なものまであります。より簡単な実装では、同じ範囲の攻撃IPアドレス、リファラー、およびユーザーエージェントを使用して1つのURLにアクセスできます。複雑なバージョンでは、多数の攻撃IPアドレスを使用し、ランダムリファラーとユーザーエージェントを使用してランダムURLを標的にすることがあります。

プロトコル攻撃

攻撃の目的:

状態消耗攻撃とも呼ばれるプロトコル攻撃は、WebアプリケーションサーバーまたはファイアウォールやLoad Balancerなどの中間リソースの利用可能な状態テーブルの容量をすべて消費することにより、サービスの中断を引き起こします。プロトコル攻撃は、プロトコルスタックの3層および4層の弱点を利用して、標的にアクセスできないようにします。

プロトコル攻撃の例:

Syn Flood DDoS Attack

SYNフラッド

SYNフラッド は、店頭からリクエストを受け取る供給室の労働者に似ています。労働者はリクエストを受け取り、荷物を受け取りに行って、確認を待ってから荷物を前に持っていきます。その後、労働者は、確認なしでさらに多くの荷物のリクエストを取得し、それ以上荷物を運ぶことができなくなり、圧倒され、リクエストに応答できなくなります。

この攻撃は、 スプーフされた送信元IPアドレスを持つ多数のTCP「初期接続リクエスト」SYNパケットを標的に送信することにより、 TCPハンドシェイクを悪用します。標的の機械は各接続リクエストに応答し、ハンドシェイクの最後のステップを待ちますが、これは決して発生せず、プロセス中に標的のリソースを使い果たします。

帯域幅消費型攻撃

攻撃の目的:

このカテゴリの攻撃は、標的とより大きなインターネットの間で利用可能なすべての帯域幅を消費することにより、輻輳を作成しようとします。ボットネットからのリクエストなど、大量のデータを増幅または別の手段で大量のトラフィックを作成する方法を使用して、標的に送信します。

増幅の例:

NTP Amplification Attack

DNSアンプ

DNS増幅 は、誰かがレストランに電話し、「すべて1つずつください。折り返し電話して、すべての注文を教えてください」というようなもので、彼らが折り返しの番号として提供する電話番号は、標的の番号です。非常に少ない労力で、長い応答が生成されます。

スプーフされたIPアドレス(標的の実際のIPアドレス)を持つオープン DNS サーバーにリクエストを行うことにより、標的のIPアドレスはサーバーから応答を受け取ります。攻撃者は、 DNSサーバー大量のデータで標的に応答するようにリクエストを構築します。その結果、標的は攻撃者の最初のクエリの増幅を受け取ります。

DDoS攻撃の軽減プロセスとは?

DDoS攻撃を軽減する際の重要な懸念事項は、攻撃と通常のトラフィックを区別することです。たとえば、製品リリースに熱心な顧客であふれている会社のWebサイトがある場合、すべてのトラフィックを遮断するのは間違いです。その会社が突然、既知の悪者からのトラフィックが急増した場合、おそらく攻撃を軽減するための努力が必要です。問題は、実際の顧客と攻撃トラフィックを区別することにあります。

現代のインターネットでは、DDoSトラフィックはさまざまな形で発生します。トラフィックの設計は、スプーフされていない単一の送信元攻撃から複雑で適応性のあるマルチベクトル攻撃までさまざまです。マルチベクトルDDoS攻撃では、複数の攻撃経路を使用してさまざまな方法で標的を圧倒し、1つの軌道での軽減努力をそらす可能性があります。 HTTPフラッド (7層を標的)と組み合わされたDNS増幅(3/4層を標的)など、プロトコルスタックの複数の層を同時に標的にする攻撃は、マルチベクトルDDoSの例です。

マルチベクトルDDoS攻撃を軽減するには、異なる軌道に対抗するためにさまざまな戦略が必要です。一般的に、攻撃が複雑になるほど、トラフィックを通常のトラフィックから分離するのが難しくなります。攻撃者の目標は、可能な限り調和して、軽減を可能な限り非効率にすることです。トラフィックを無差別にドロップまたは制限することを含む軽減の試みは、良いトラフィックと悪いトラフィックを捨てる可能性があり、攻撃は対策を回避するために変更および適応する可能性もあります。混乱という複雑な試みを克服するために、階層化されたソリューションが最大の利益をもたらします。

ブラックホールルーティング

実質的にすべてのネットワーク管理者が利用できる1つのソリューションは、ブラックホールルートを作成し、そのルートにトラフィックを集中させることです。最も単純な形式では、特定の制限基準なしでブラックホールフィルタリングが実装されると、正当なネットワークトラフィックと悪意のあるネットワークトラフィックの両方がヌルルートまたはブラックホールにルーティングされ、ネットワークからドロップされます。インターネットプロパティでDDoS攻撃が発生している場合、プロパティのインターネットサービスプロバイダー(ISP)は、すべてのサイトのトラフィックを防御としてブラックホールに送信する場合があります。

Rate Limiting

サーバーが特定の時間枠で受け入れるリクエストの数を制限することも、サービス拒否攻撃を軽減する方法です。Rate Limitingは、Webスクレイパーがコンテンツを盗むのを遅らせ、 ブルートフォースログイン試行を軽減するのに役立ちますが、複雑なDDoS攻撃を効果的に処理するには不十分です。それにもかかわらず、レート制限は効果的なDDoS軽減戦略の有用なコンポーネントです。 CloudflareのRate Limitingについてご覧ください

Web Application Firewall

A web application firewall(WAF) は、7層DDoS攻撃の軽減に役立つツールです。インターネットと配信元サーバーの間にWAFを配置することにより、WAFは特定のタイプの悪意のあるトラフィックから標的のサーバーを保護するリバースプロキシとして機能します。 DDoSツールを識別するために使用される一連のルールに基づいてリクエストをフィルタリングすることにより、7層攻撃を妨げることができます。効果的なWAFの重要な価値の1つは、攻撃に応じてカスタムルールを迅速に実装できることです。 CloudflareのWAF についてご覧ください

Anycast Networkの拡散

この軽減アプローチでは、Anycast Networkを使用して、攻撃トラフィックを分散サーバーのネットワーク全体に分散し、トラフィックがネットワークに吸収されるようにします。川の急流を別々の小さな水路に流れ込ませるように、このアプローチは分散攻撃トラフィックの影響を、管理可能になるところまで広げ、破壊的な能力を拡散させます。

DDoS攻撃を軽減するためのAnycast Networkの信頼性は、攻撃のサイズとネットワークのサイズと効率に依存します。 Cloudflareによって実装されるDDoS対策の重要な部分は、Anycast分散ネットワークの使用です。Cloudflareには30 Tbpsのネットワークがあり、これは記録されている最大のDDoS攻撃よりも1桁大きいものです。

現在攻撃を受けている場合、プレッシャーから脱出するために実行できる手順があります。既にCloudflareを使用している場合は、これらの手順に従って攻撃を軽減できます。 Cloudflareで実装しているDDoS保護は、考えられる多くの攻撃ベクトルを軽減するために多面的です。Cloudflareの DDoS保護とその仕組みについて詳しくご覧ください。