DDoS 攻撃とは?
分散型サービス妨害攻撃 (DDoS 攻撃) は、ネットワークや Web サーバーなどのリソースをオフラインにする目的で、膨大な量の要求を標的とするサイバー脅威の一種です。トラフィックがサーバーの容量を超えると、正当なユーザーからの正当な要求に応答できなくなり、「サービス拒否」が発生します。
DDoS 攻撃では、複数のマシンがネットワーク内で連携して、サーバーの容量を超える大量のトラフィックでサーバーをフラッディングします。多くの場合、銀行からニュース Web サイト、場合によっては発電所などの重要なサービスに依存している大企業の悪意のある攻撃者によって実行されます。最終的な目標は、システムの停止中やダウンタイム中の盗難や強要、フィッシングやランサムウェアなどの追加攻撃の開始、評判の低下、または単に混乱を引き起こすことなど、さまざまです。
DDoS 攻撃のしくみ
DDoS 攻撃は、加害者のコマンドの下で連携して動作するマシンのネットワークを使用して開始されます。これらの侵害されたデバイスは、 ボットネット、悪意のあるトラフィックのフラッドをターゲット リソースに送信するジョブを実行します。
マシンには、ラップトップ、モバイル デバイス、PC、サーバー、またはモノのインターネット (IoT) デバイスが含まれる可能性があり、離れた場所に分散する可能性があります。ボットネットでリモート制御されているそのようなデバイスは、数千または数百万に上る可能性があります。デバイス自体は、攻撃者がセキュリティの脆弱性を利用して、デバイスの所有者の知らないうちにマルウェアを挿入することで侵害された可能性があります。
最大かつ注目を集めた DDoS 攻撃の 1 つは、 2016年ダイン攻撃 これにより、アメリカのインターネット サービスの多くがダウンし、Twitter、ガーディアン、Netflix などの機能不全に陥ったサイトが機能しなくなりました。この攻撃では、カメラ、テレビ、プリンター、さらにはベビー モニターなどの IoT デバイスのボットネットを使用して、Mirai として知られるマルウェアが使用されました。
DDoS 攻撃を開始するプロセスは次のようになります。まず、サイバー攻撃者は、マルウェアに感染した後、デバイスを制御します。このようなボットネットが作成されると、特定の指示がリモートで各ボットに送信され、攻撃が実行されます。ターゲットがネットワークまたは Web サーバーの場合、各ボットはサーバーの IP アドレスに要求を送信します。
各ボットはインターネット上の正当なデバイスであるため、ボットからのトラフィックは正常に見えるため、サーバーへの正当なトラフィックから分離するのは困難です。
DDoS 攻撃が危険な理由
DDoS 攻撃が危険である主な理由の 1 つは、その単純さです。 DDoS 攻撃を作成して開始するには、非常に高度な技術は必要ありません。ハッカーは、ターゲット サーバーにコードをインストールする必要はありません。必要なのは、マシンを侵害し、それらを制御して、標的の Web サーバーに数百万の ping を同時に送信できるようにすることだけです。実際、2016 年の Dyn 攻撃で使用された Mirai ボットネットはオープンソースでした。つまり、サイバー犯罪者はこれを使用して適応させ、将来同じ機能を備えた攻撃を仕掛けることができます。
受信するインターネット トラフィックが分散されているため、DDoS 攻撃に対する防御も困難です。ボットネット内の侵害された「ゾンビ」マシンは、異なる送信元 IP アドレスを持っています。疑わしい IP アドレスからのリクエストをブロックするフィルタを追加することは 1 つの対策ですが、そのような IP アドレスが何百万もある場合、そのような多数のリクエストが行われている場合、それは持続不可能な防御戦略になります。
さらに悪いことに、DDoS 攻撃の潜在的な攻撃ベクトルは日々増加しています。より多くのデバイスが日常の消費者の手に渡るにつれて、IoT 市場が拡大してより多くの種類のデバイスをカバーするようになるにつれて、これらからの潜在的な DDoS 攻撃に対する防御はより困難になります。これらのデバイスには、標準のコンピューターやサーバーと比較して高度なセキュリティ ソフトウェアが搭載されていない可能性があるため、ハッキングや侵害を受けてボットネットの一部を形成する可能性があります。
さまざまな種類の DDoS 攻撃
その単純さにもかかわらず、DDoS 攻撃は、使用される方法に応じてさまざまな形で発生する可能性があります。ここでは、DDoS 攻撃の一般的なタイプをいくつか紹介します。
ネットワーク層またはプロトコル攻撃
これらは、ネットワーク インフラストラクチャを標的とする DDoS 攻撃です。たとえば、低速の ping、不正な形式の ping、部分的なパケットを送信することで、ネットワーク接続要求の検証を担当するネットワーク領域を攻撃する可能性があります。 Web アプリケーション ファイアウォールを通過できます (WAF) したがって、このタイプの DDoS 脅威は、ファイアウォールだけでは対処できません。
さらに、ファイアウォールがネットワークの奥深くに配置されている可能性があるため、トラフィックがファイアウォールに到達する前にルーターが侵害される可能性があります。一般的なタイプのネットワーク レイヤー攻撃には、Smurf DDoS および SYN フラッド攻撃が含まれます。これらの攻撃は、TCP/IP 接続要求をファイナライズせずに開始し、サーバーを確認応答 (ACK) パケットが到着しないのを待ち続けます。ネットワーク層またはプロトコル攻撃の重大度は、実際のビット数ではなく、送信される情報のパケット数に依存するため、1 秒あたりのパケット数で測定されます。
アプリケーション層攻撃
このタイプの DDoS 攻撃は、基盤となるインフラストラクチャよりもアプリを直接無効にすることを目的としています。それらは Open Systems Interconnection Model (OSI) の最上位レイヤーまたは L7 レイヤーを攻撃し、HTTP、HTTPS、DNS、または SMTP を介して起動できます。攻撃は、Web ページがサーバー上で生成され、HTTP 要求に応答して配信される層を標的としています。アプリケーション レイヤー攻撃の例としては、HTTP フラッド、Low and Slow、BGP ハイジャックなどがあります。重大度は、ハッカーがボットネット トラフィックを使用してアプリ サービスへのアクセスを要求する頻度または継続性に依存するため、これらは 1 秒あたりの要求数で測定されます。
ボリュームベースのトラフィック
ボリュームベースの DDoS 攻撃では、この方法は、ネットワーク帯域幅を超えて送信される膨大な量のトラフィックに依存しています。ユーザー データグラム プロトコルまたは UDP フラッドとインターネット制御メッセージ プロトコル (ICMP) フラッドは、ボリューメトリック攻撃の 2 つの一般的な形態です。 UDP フラッド攻撃では、攻撃者は UDP 形式を使用して整合性チェックをスキップし、増幅攻撃と反射攻撃を生成します。
たとえば、DNS 増幅攻撃は、ボリューム DDoS 攻撃の 1 つのタイプであり、攻撃者はオープンに要求を行います。 DNS サーバー (被害者の) IP スプーフィング アドレスを使用して、トラフィック増幅攻撃でターゲット サーバーを圧倒します。 ICMP フラッドでは、攻撃者がネットワーク ノードに偽のエラー リクエストを送信して、実際のリクエストに応答できないようにします。ここでの攻撃者の目標は、侵害されたデバイスからできるだけ多くのリクエストを短時間で送信することです。
DDoS 攻撃の別の分類には、意図した結果が含まれます。フラッディング用のものもあれば、クラッシュ用のものもあります。
フラッディング DDoS 攻撃
これらは、大量のデータを使用してサーバーをダウンさせることを目的とした攻撃です。たとえば、ICMP フラッドまたは ping フラッドは、データ パケットを送信してコンピューターのネットワークを圧倒し、コンピューターをまとめてダウンさせます。上記のネットワーク層攻撃で説明した SYN フラッドも、同様のベースで動作するものです。
クラッシュする DDoS 攻撃
このタイプの DDoS 攻撃では、攻撃者は侵害されたシステムにバグを送信して、システムのインフラストラクチャの弱点を利用します。これにより、ルーターやファイアウォールにパッチが適用されていない場合に悪用される可能性のある欠陥が露呈し、システム クラッシュにつながる可能性があります。
DDoS 攻撃を特定して防御する方法
前述のように、DDoS 攻撃は、リモート制御ボットネットの一部である可能性がある場合でも、正規のデバイスからのトラフィックが関与するため、検出が困難な場合があります。これにより、そのようなボットネット トラフィックと正当な要求を区別することが困難になります。ただし、特定して特定しようとする際に注意できるいくつかの症状があります。 ビジネスを DDoS 攻撃から保護.
突然のサイトの問題の調査を開始する
DDoS 攻撃の最もわかりやすい兆候は、サイトまたはサービスが突然予期せず遅くなり始めたり、まったく利用できなくなったりすることです。ただし、これは DDoS 攻撃を保証するものではありません。大量のトラフィックがある場合、正当なリクエストでもパフォーマンスの問題が発生する可能性があるからです。単一の IP アドレスなどの単一のソースから、または IP アドレスの範囲内から送信されている、この攻撃トラフィックの量が不当であるかどうかをさらに調べます。または、同じ種類のデバイス、場所、またはブラウザーの種類からフラッドが発生する可能性があります。また、攻撃トラフィックの急増がすべて、特定の Web ページなどの単一のエンドポイントに向けられる可能性さえあります。異常な時間帯や、数分ごとなどの疑わしい頻度でのスパイクなど、その他のパターンも、さらに調査する必要があることを示している可能性があります。
異常な技術的問題に注意してください
特定の可用性の問題は、最初は悪意がないように見えるかもしれませんが、DDoS 攻撃の兆候である可能性があります。たとえば、ネットワーク パフォーマンスの異常な低下など、メンテナンス中のネットワーク セキュリティに関する特定の技術的な問題です。ファイルを開く、Web サイトへのアクセスに問題がある、または特定の Web サイトがダウンしている場合は、DDoS 攻撃の結果であるかどうかをさらに調査する価値があります。
ネットワーク セキュリティとトラフィック監視ツールを採用する
DoS 攻撃を検出して特定する最善の方法は、ネットワーク トラフィックの監視と分析です。ネットワーク トラフィックは、ファイアウォール、ロード バランサー、または侵入検知システムを介して監視できます。管理者は、異常なトラフィック負荷の検出時にアラートを作成し、DDoS トラフィックのソースを特定するか、特定の基準を満たすネットワーク パケットをドロップするルールを設定することもできます。
ビジネスの DDoS 緩和
DDOS防御 は、今日の企業のサイバーセキュリティに不可欠な要素となっています。
DDoS 攻撃では、攻撃者は多数のボットまたは侵害されたデバイスの強さに依存して、標的のネットワーク リソースを圧倒します。使用される方法は単純ですが、DDoS 攻撃は、サーバーのダウンタイム、顧客へのサービスの中断、および他のより広範な攻撃を開始する経路として、ビジネスに大きな損害を与える可能性があります。
DDoS 防御戦略を効果的に実装するには、単に症状を特定し、猛攻撃にリアルタイムで対応するだけでは十分ではありません。 DDoS の脅威が検出されるまでに、被害の一部または大部分がすでに発生している可能性があり、被害の範囲を最小限に抑えるために時間をかけている可能性があります。これが、積極的に行動し、探求することが重要である理由です。 DDoS 緩和 ビジネス向けのクラウド サービス。
DNS や CDNetworks などのサービス プロバイダーを含むプロフェッショナル サービスは、次のようなネットワーク監視ツールとテクノロジを使用してネットワークとシステムを保護するのに役立ちます。 コンテンツ配信ネットワーク 必要に応じて悪意のある攻撃トラフィックをルーティングします。
