DDoS攻撃とはDoS攻撃の一種です。ネットワーク帯域やサーバー資源を枯渇させることで、攻撃対象のサイトが正常なサービスを行えないようにする攻撃を、DoS(Denial of Service)攻撃と言います。大量のパケットを送り出すために大量のマシンを使用し、分散型で行われる場合に「DDoS(Distributed DoS)攻撃」と呼ばれます。
攻撃のパターンは、大きく2種類に分類できます。
第1は大量のパケットを集中的に送信し、ネットワーク帯域を枯渇させる方法です。UDPパケットを大量に送信する「UDPフラッド攻撃」が古くから知られていますが、最近ではUPnP(ユニバーサル プラグ アンド プレイ)機能に対応した機器や、DNSサーバー、NTP(時刻合わせに使用するサーバー)の特性を利用し、攻撃者から送ったパケットの容量を増幅して攻撃する「リフレクション攻撃」も増えています。
第2は、TCPやHTTPの特性を利用し、サーバー資源を枯渇させる方法です。送信元IPアドレスを偽装したTCPセッションリクエスト(SYNパケット)を大量に送りつける「SYNフラッド攻撃」が古くから使われていますが、最近ではHTTPでゆっくりと時間をかけて通信を行い大量のコネクションを張ることでWebサーバーをダウンさせる「スローHTTP攻撃」も増えています。
サーバー資源の枯渇を狙うDoS攻撃への対応は「F5 BIG-IP Advanced WAF」で容易になります。またオンプレミスでなくサービスとしてDoS攻撃に対応したり、ネットワーク帯域の枯渇を狙うDoS攻撃にも対応するには「F5 Silverline DDoS Protection」の活用が効果的です。
>DDoS攻撃と対策方法~最新の攻撃種類から対策まで徹底解説
分散型サービス拒否(DDoS)攻撃は、システムを機能しない状態にし、合法的なユーザーが利用できなくします。
DDoSとは何ですか?DDoSは、システムが劣化し、合法的なユーザーが使用できなくなる悪意のある攻撃です。多くの場合、DDoSは複数の侵害されたデバイスが使用され、目標となるシステムに大量のトラフィックを送り込む調整されたキャンペーンであり、その結果としてそのサービスが意図したユーザーに利用できなくなります。
DDoS攻撃は、目標となるリソースにトラフィックを氾濫させてインフラを劣化させたり、アプリケーションのパフォーマンスを損なう特別に作成されたメッセージを送信することにより、それを操作不能にするまで過負荷にします。DDoS攻撃は、ファイアウォールのステートテーブルなどのネットワークインフラストラクチャや、サーバーやCPUなどのアプリケーションリソースを対象とすることができます。DDoS攻撃は重大な結果をもたらし、オンラインサービスの可用性と完全性を危険にさらし、大幅な混乱を引き起こし、金融的な損失や評判の損傷の可能性をもたらします。これらの攻撃は、データの外部への転送からセキュリティやリスクチームの注意をそらすためのスクリーンとしても使用されます。
DDoS攻撃は、何千人もの人々が同時にドア口を押し合って進もうとする様子に似ています。その結果、誰もドア口を通り抜けることができず、他方へ正当な理由で通り抜ける必要がある人々も含まれます。また、攻撃は、一人の人がキーを持って通り抜けた後にドアをロックし、他の誰も入ることができないようにするようなものかもしれません。
このような攻撃は通常、多数のクライアントコンピュータや他のネットワーク接続デバイスを通じて調整されます。これらの攻撃者が制御するリソースは、この特定の目的のために設定されたものであるか、またはより可能性が高いのは、攻撃者がデバイスを遠隔で制御し、攻撃に参加させるマルウェアに感染しているかもしれません。
攻撃が多数の異なるソースから来るため、ブロックするのは非常に困難です。再度、ドア口を押し合っている人々の群れを想像してみてください。一人の不正な人(または悪意のあるトラフィックソース)をブロックするだけでは、その場を取って代わる他の何千人もの人々がいるため、助けにはなりません。自動化フレームワークの進歩により、攻撃者はIPアドレス、自律システム番号(ASN)、ブラウザのユーザーエージェント、および他のテレメトリーを偽装して、従来のセキュリティ制御をバイパスすることが可能です。
分散型サービス拒否(DDoS) 攻撃とサービス拒否(DoS)攻撃の違いを理解することが重要です。両方とも、目標となるシステムやネットワークの利用可能性を妨げることを目指したサイバー攻撃のタイプですが、攻撃の実行方法が異なります。
DoS攻撃は通常、単一のソースまたは少数のソースから発射され、攻撃者はターゲットシステムやネットワークを過剰なトラフィックやリクエストの洪水で圧倒し、それらを処理する能力を超えます。
一方、DDoS攻撃は、複数のソースまたはボットネットを含みます。ボットネットとは、攻撃者の制御下にあるコンプロミスしたコンピューターやデバイスのネットワークです。攻撃者はこれら複数のソースを調整して、目標に対して同時に攻撃を開始します。DDoS攻撃は、複数のソースから来るため、正当なトラフィックと悪意のあるトラフィックを区別するのが困難であるため、通常、DoS攻撃よりも緩和するのが難しいです。
DDoSの脅威の風景は常に進化していますが、F5は、ほとんどの攻撃が次の広範なカテゴリに分類されることを発見しました。
ボリューメトリック攻撃は、DDoS攻撃の最も一般的なタイプの一つです。これらの攻撃は、大量のデータやトラフィックでターゲットのネットワーク帯域幅を圧倒することを目指しています。このような手法には、UDP(ユーザー・データグラム・プロトコル)フラッド、ICMP(インターネット制御メッセージプロトコル)フラッド、そしてNTP(ネットワーク時間プロトコル)、Memcached、DNSなどのプロトコルを利用したリフレクション攻撃が含まれ、これらはターゲットが受信するトラフィックの量を増幅します。トラフィックの絶大な量がターゲットのネットワークインフラを飽和させ、正当なユーザーから利用できなくなる原因となります。フラッドベースの攻撃は、しばしばレイヤー3、4、または7を対象とし、SYNフラッドという非常に一般的な攻撃は、ネットワークのファイアウォールや他の重要なネットワークインフラを圧倒する可能性があります。
アプリケーションの脆弱性攻撃、別名レイヤー7攻撃は、ネットワークスタックのアプリケーション層を特に狙っています。これらの攻撃は、ターゲットサーバー上で実行されているアプリケーションやサービスのソフトウェアの脆弱性を悪用し、CPU、メモリ、データベース接続などのサーバーのリソースを使い果たすことに焦点を当てています。アプリケーション層攻撃の例には、HTTP GET フラッド(大量のHTTPリクエストを送信)、slowloris攻撃(部分的なリクエストで接続を開放状態に保つ)、HTTP POSTフラッド、TLS再交渉、DNSクエリなどがあります。
非対称攻撃、またはリフレクティブあるいは増幅攻撃とも呼ばれる攻撃は、特定のネットワークプロトコルの機能を利用して攻撃トラフィックのボリュームを増幅させます。非対称DDoS攻撃では、攻撃者は特別に作成された少量のネットワークパケットを脆弱なネットワークやサービスに送信します。通常、送信元IPアドレスを偽装して行われます。これらのパケットは、ターゲットとなるシステムやネットワークからはるかに大きな応答の生成を引き起こし、著しい増幅効果をもたらします。
上記の複数の方法を活用するマルチベクトル攻撃は、ますます一般的になっています。複数の攻撃手法を使用することで、攻撃者は影響を増幅させ、同時に複数の攻撃ベクトルに対する防御の難易度を高めることができます。
以下は、DDoS攻撃、軽減、予防に関連するいくつかのキーポイントと定義です。
DDoS攻撃は、ビジネス、組織、個人に対して深刻な影響を及ぼす可能性があります。
DDoS攻撃は大きな財政的損失を引き起こす可能性があります。サービスが中断またはアクセス不能になると、取引の中断、顧客エンゲージメントの減少、または逃した機会により、ビジネスは収益に影響を受ける可能性があります。さらに、組織は攻撃の緩和、インシデント対応と復旧活動の実施、および潜在的な規制違反に関連するコストを負担する可能性があります。
成功したDDoS攻撃は、組織の評判を損ない、顧客の信頼を侵食する可能性があります。企業のサービスが繰り返し中断されたり利用できなくなったりすると、顧客は組織が信頼性のあるサービスを提供する能力に対する信頼を失う可能性があります。信頼を再構築し、損傷した評判を回復することは、困難で時間がかかるプロセスとなることがあります。
DDoS攻撃は重大な運用上の混乱を引き起こす可能性があります。オンラインサービスに大きく依存している組織は、従業員が重要なシステムにアクセスできなかったり、効果的に協力できなかったりするため、生産性の損失を経験する可能性があります。サービスの中断は、供給チェーン、カスタマーサポート、全体のビジネス運用に影響を与え、遅延、非効率、および増加した運用コストを引き起こす可能性があります。
堅牢なDDoS緩和戦略に投資し、サイバーセキュリティの専門家にセキュリティ対策の設計と実装を依頼することで、組織は成功したDDoS攻撃のリスクと影響を大幅に減らし、財政的安定と評判を保護し、運用の継続性を確保することができます。
以下は、攻撃に対抗するために使用される一般的なDDoS緩和手法です。組織はしばしば、これらの方法論の組み合わせを使用して、DDoS攻撃の影響を効果的に緩和することができる層状の防御戦略を作成します。また、早期の検出はインシデント対応と緩和策の迅速な開始にも重要であり、組織はそれがエスカレートする前に影響を制御することができます。
トラフィックフィルタリングは、着信ネットワークトラフィックを調べ、ブロックまたは特定のタイプのトラフィックを許可するためのフィルタを適用することを意味します。この技術は、ネットワークエッジルータ、ファイアウォール、または専用のDDoS対策アプライアンスなど、さまざまなレベルで利用できます。悪意のあるまたは不要なトラフィックをフィルタリングすることにより、組織はDDoS攻撃の影響を軽減し、正規のトラフィックが意図した宛先に到達することを保証するのに役立ちます。
レート制限は、特定の送信元または指定された時間枠内の着信リクエストまたはパケットの数を制限することを意味します。レート制限を強制することにより、組織はトラフィックの過剰な集中を防ぐことで、DDoS攻撃の影響を緩和することができます。
異常検知は、通常のパターンからの逸脱を特定するためにネットワークトラフィックのパターンや振る舞いを監視することを意味します。統計的分析と機械学習アルゴリズムを利用して基準となる振る舞いを確立し、DDoS攻撃を示唆する可能性のある異常な活動を検出します。異常検知システムは、攻撃が行われていることを示すトラフィックの異常なスパイク、パケットの過剰な送信、または他のパターンを特定することができます。
行動分析は、ユーザー、システム、またはネットワークエンティティの振る舞いを監視し、疑わしいまたは悪意のある活動を検出および特定することに焦点を当てています。行動分析技術は、正規のトラフィックと攻撃トラフィックを区別するのに役立ち、誤検知を最小限に抑えながら組織が効果的にDDoS攻撃に対応するのに役立ちます。この分析は、サーバーサイドだけでなく、システムの負荷を検出するインテリジェントプロキシを介してクライアントサイドでも実行することができ、これはDoS攻撃の兆候となる。
コンテンツ配信ネットワーク(CDN)を展開することは、容量攻撃の影響を軽減し、利用可能性とパフォーマンスを向上させるのに役立ちます。CDNは分散ネットワークインフラストラクチャを利用して悪意のあるトラフィックを特定しブロックし、正当なリクエストが目的地に到達することを保証します。
ロードバランサーやアプリケーション配信コントローラー(ADC)も、トラフィックを知的に分散管理することによって、DDoS攻撃に対する防御メカニズムとして機能することがあります。ロードバランサーは、レート制限、トラフィック整形、またはトラフィックを専門のDDoS保護ソリューションにリダイレクトするなど、さまざまな技術を適用してDDoS攻撃を検出および軽減することができます。
クラウドベースのDDoS保護サービスを導入することで、DDoS攻撃に対する専用かつスケーラブルな対策能力を提供することができます。これらのサービスを通じてトラフィックをリダイレクトすることで、組織は高度な軽減技術、リアルタイムの脅威情報、専門プロバイダの専門知識を活用することができます。
DDoS攻撃が規模と複雑さを増している中、組織はエンタープライズネットワークに攻撃が到達する前にこれらの攻撃を停止するために複数の防御手段が必要です。これらの攻撃はしばしば高容量トラフィックと、自動化されたボットネットまたは人間によるツールを駆使した、潜在的で低速なアプリケーションをターゲットとした攻撃技術を組み合わせています。これらの攻撃の頻度と停止のコストが増加するにつれ、これらの攻撃を軽減するために包括的で層状の防御手法の重要性は極めて重要になっています。
以下の事例研究を視聴または読解することで、実際のDDoS攻撃とその軽減方法について学びましょう。
高度なDDoS脅威に対しては、高度なDDoS保護が必要です。F5のサービスとソリューションは、ここにあります。DDoS攻撃への対処方法の一番の策は、事前に防ぐことです。F5のソリューションは、重要なインフラを圧倒し、重要なプロトコルを標的にし、アプリケーションやサービスの脆弱性を悪用するマルチベクター型のDoS攻撃を軽減します。F5ソリューションは、クエリリクエストを検証し、悪意のある通信を緩和し、DNSおよびアプリケーションの可視性を提供することにより、DNS増幅攻撃および他のフラッディングエクスプロイトに対する保護も提供します。これにより、その健康状態、最適化、および保護が最大化できます。F5 DDoS ミティゲーションソリューションは、混合型ネットワーク攻撃や高度なアプリケーションのエクスプロイトに対して、より深い防御を提供する多層防御を提供し、ほぼリアルタイムで脅威を検出して排除することができます。 F5 DDoS緩和ソリューションは、混合ネットワーク攻撃と洗練されたアプリケーションの脆弱性に対するより深い防御を提供する多層防御を提供し、ほぼリアルタイムで脅威を検出し排除することができます。