NGINX App Protect のサービス拒否攻撃はアプリケーションレベルの DoS 攻撃をブロックします

デジタル変革によってビジネスの可能性は加速していますが、残念ながら脅威の状況も拡大しています。 セキュリティ チームが範囲と責任の拡大に適応するのに忙しい中、攻撃者はそれを利用し、金銭的利益を得るためにアプリケーションを悪用する方法がこれまで以上に巧妙になっています。 ネットワーク レベルでの従来のサービス拒否 (DoS)攻撃と比較して、アプリケーション レベル (レイヤー 7 ) の DoS 攻撃が急増しています。主な理由は、最新のアプリケーション アーキテクチャ向けに設計されていない従来の防御を回避できるためです。

攻撃者の観点から見ると、レイヤー 7 DoS 攻撃には 2 つの価値ある特徴があります。それは、重大な混乱を引き起こすのに必要なリソースが非常に少なく、検出が困難であることです。 このような攻撃は、高度なツールと正確にターゲットを絞ったリクエストを使用して生成され、正当なリクエストを処理できないようにすることで、アプリケーション サーバーと API を混乱させます。 サーバーが処理できる量を超えるリクエストに襲われると、正当なリクエストが破棄されたり、応答しなくなったり、クラッシュしたりします。

従来の DoS 緩和ソリューションは、最新のアプリには効果がありません。 これらは静的なルールベースのセキュリティを提供し、現代のアプリ環境における変化と更新のペースに対応するために継続的なメンテナンスが必要です。

NGINX App Protect DoS のご紹介

NGINX App Protect サービス拒否(DoS) は、最新のアプリケーションを最も高度なアプリケーション DoS 攻撃から保護するように設計された、NGINX Plus 用の新しい軽量動的モジュールです。 NGINX App Protect DoS は、アプリケーションを妨害したり損害を与えたりする攻撃を軽減し、継続的なパフォーマンスと収益の収集を保証し、競争の激しいデジタル世界において顧客の忠誠心とブランドを維持します。

NGINX App Protect DoS は、Kubernetes クラスターを含むあらゆるプラットフォーム、アーキテクチャ、環境上のアプリケーションやマイクロサービスの近くにデプロイできます。 アプリケーションに合わせてスケールアウトし、常に高いセキュリティ効果を維持します。

導入ユースケース

NGINX App Protect DoS は、アプリケーション サービスを保護するためにさまざまな場所に導入できます。

• エッジ– 外部ロードバランサとプロキシ
• Ingress コントローラ– Kubernetes へのエントリ ポイント
• サービスごとのプロキシ– 内部サービス プロキシ層
• ポッドごとのプロキシ– ポッドに埋め込まれたプロキシ
• APIゲートウェイ– マイクロサービスへのエントリポイント

軽減された攻撃の種類

NGINX App Protect DoS は、複数の高度な攻撃タイプに対する保護を導入します。

• GETおよびPOSTフラッド攻撃- (HTTP と HTTPS の両方) 攻撃者は大量のリクエストでサーバーまたは API を圧倒し、実際のユーザーに応答できない状態にします。

• 「スロー」攻撃- (HTTP と HTTPS の両方) 「スロー アンド ロー」攻撃はサーバー リソースを占有し、実際のユーザーからのリクエストを処理するために使用できるリソースがなくなります。 防御を困難にする要因が 2 つあります。

  • ネットワーク DDoS 攻撃とは異なり、広範な帯域幅を使用しないため、通常のトラフィックと区別することが困難です。
  • 起動に多くのリソースを必要としないため、高度な自動化ツールを使用して 1 台のコンピューターから何千ものリクエストを送信できます。

  スロー アタックには主に 3 つの種類があります。

  • Slowloris – 攻撃者はサーバーに接続し、部分的なリクエスト ヘッダーをゆっくりと送信します。 サーバーは残りのヘッダーを待機している間接続を開いたままにし、実際のユーザーが利用できる接続のプールを使い果たします。
  • 読み取り速度が遅い– 攻撃者は適切な形式の HTTP リクエストを送信しますが、応答を読み取る速度は遅いか、まったく読み取れません。 これにより、サーバーのリソースが消費され、正当なリクエストが通過できなくなるという累積的な影響が生じます。
  • 遅いPOST – 攻撃者は、後続のメッセージ本文のサイズを正しく指定した正当な HTTP POSTヘッダーをサーバーに送信します。 その後、メッセージ本文が非常にゆっくりと送信されます。 メッセージは有効であると思われるため、サーバーは接続を開いたままにして、本文全体が到着するまで待機します。 大量の Slow POST攻撃により、実際のユーザーが利用できる接続プールが枯渇します。

• 前述の攻撃の分散型バリエーション- 明らかに、複数のコンピューターを参加させることで、より多くの同時攻撃を送信することが容易になります。 さらに、各コンピューターからのトラフィック量は比較的少なくなるため、通常のユーザーと似たものになります。 コンピュータが攻撃プールから脱退して再び参加することもあり、その場合、送信元 IP アドレスのセットが常に変化することになります。 これらのトラフィック特性により、レート制限やジオブロッキングなどの従来の緩和技術の効果は低下します。

• チャレンジ コラプサー攻撃/ランダム URI –チャレンジ コラプサー (CC) 攻撃では、攻撃者は、要求された URI が複雑で時間のかかるアルゴリズムやデータベース操作の実行を必要とすることを除いては正常である要求を頻繁に送信し、これにより標的のサーバーのリソースが枯渇する可能性があります。 攻撃者は、静的ルールなどの従来の緩和ツールを無効にする方法で、URI やその他の HTTPs パラメータをランダム化することもできます。 NGINX App Protect DoS は、代わりに、有効性を大幅に向上させ、誤検知を減らす高度な機械学習アルゴリズムに依存しています。

​

• NAT の背後に隠れる– 攻撃者は暗号化またはネットワーク アドレス変換 (NAT) を使用して検出を回避します。 送信元 IP アドレスのみを追跡して攻撃を検出しようとすると、たとえ 1 人のユーザーだけが攻撃している場合でも、すべての NAT ユーザーが攻撃者として扱われるため、効果がありません。

  NGINX App Protect DoS は IPv4 のフィンガープリントを使用して、NAT の背後にいる悪意のある行為者を正確に検出します。 ほとんどのトラフィックは SSL/TLS を使用して暗号化されるため、アクターを識別するキーを IP アドレスのみから IP アドレスと TLS フィンガープリント (フィンガープリントは TLS hello メッセージに基づいています) の組み合わせに拡張することが可能です。

• 標的型 SSL/TLS 攻撃- 攻撃者は SSL/TLS ハンドシェイク プロトコルを悪用します。 一般的なアプローチの 1 つは、ターゲットの SSL/TLS サーバーにガベージ データを送信することです。 無効なメッセージを処理するのは正当なメッセージを処理するのと同じくらい計算コストがかかりますが、有用な結果は得られません。 ほとんどのファイアウォールは、有効な SSL/TLS ハンドシェイク パケットと無効な SSL/TLS ハンドシェイク パケットを区別できず、ファイアウォールで復号化を実装するにはコストがかかりすぎるため、この場合には役に立ちません。

  NGINX App Protect DoS は、SSL/TLS 署名メカニズムを使用して、暗号化されていない CLIENT HELLO メッセージに基づく異常ベースの検出と軽減を提供し、SSL/TLS ハンドシェイク プロセスの早い段階で渡されるため、復号化にかかる高いコストが削減されます。 さらに、SSL/TLS 署名をサーバーのヘルス監視メカニズムと併用することで、SSL/TLS を終了せずに DoS 保護と軽減が可能になります。

まとめ

DoS 攻撃がネットワークではなくアプリケーションをターゲットにすることが一般的になりつつあります。 これらのレイヤー 7 DoS 攻撃の多くは正当なトラフィックのように見えるため、従来の WAF 防御では効果的に検出できません。

さらに、攻撃者は機械学習や AI などの新しいテクノロジーを活用してレイヤー 7 DoS 攻撃を仕掛け続けており、単純なルールや静的シグネチャの効果は低下しています。 レイヤー 7 の DoS 緩和も進化する必要があり、NGINX App Protect DoS は、適応型で動的な防御に適したテクノロジーを提供します。

DoS 保護を確実に実現する方法について詳しく知りたい場合は、ソリューション概要をご覧ください。 以下の関連ブログもご覧ください:

• 複雑で最新の攻撃からアプリケーションを守る
• NGINX App Protect のサービス拒否攻撃防御が進化する攻撃環境に適応する方法

NGINX App Protect DoS をぜひお試しください。今すぐ30 日間の無料トライアルを開始するか、弊社にお問い合わせの上、使用事例についてご相談ください。