レイヤ7 DDoS攻撃

レイヤ7 DDoS攻撃の概要

レイヤ7 DDoS攻撃（l7 DDoS攻撃とも呼ばれる）とは、OSIモデルの最上層、つまりHTTP GETやHTTP POSTなどのウェブリクエストが行われる層を狙う悪意ある攻撃を指します。DNSアンプ攻撃とは異なり、こうした攻撃ではサーバやサービスの資源が直接標的となります。

レイヤ攻撃はどのように機能するか

ほとんどのDDoS攻撃は、攻撃を送るために必要な資源が、防御に必要な資源に比べて少なくて済む点に理由があります。レイヤ7攻撃の場合、対象サーバやネットワークは低い帯域幅でも同等の悪影響を受けるため、アプリ層攻撃は他の攻撃に比べ少ない帯域幅で大きな被害をもたらします。これは、多くのセキュリティ体制にとって大きな懸念材料です。

この考えをより理解するため、クライアントがリクエストを送信する際と、サーバがそのリクエストに応じる際に消費される資源量の違いを見てみましょう。例えば、クライアントがGmailなどのオンラインアカウントにログインする際、PCが使用する資源はほんの僅かです。一方、サーバが認証処理を行い、データベースからユーザ情報を取得し、ページを生成するには多くの資源が必要となるため、その差は明白です。

しかし、ログイン以外の場合、クライアントがデータベース照会を行ったり、別のAPIを呼び出してページを返す場面も多いです。さらに、複数のデバイスが1つのサイトを狙うボットネット攻撃などでは、その差が拡大し、サービスの低下や正当に利用しようとするユーザへのサービス拒否を引き起こす恐れがあります。中には、APIへのl7攻撃で完全に停止してしまう場合もあります。

レイヤ7 DDoS攻撃の手法

効果的にl7 DDoS攻撃を緩和するためには、貴社が直面する脅威を十分に理解することが重要です。状況を正確に把握すれば、適切な対策を講じ、レイヤ7 DDoS攻撃から自身を守る手段を整えることが可能です。

レイヤ7 DDoS攻撃は、DDoS攻撃の一種であり、多くの場合、迅速かつ静かに実行されます。アプリ層の設計や運用上の欠陥を標的とし、欠陥が発見されると攻撃が開始されます。また、複数のデバイスや大規模な帯域幅を必要としない点も特徴です。

代表的なDDoS攻撃は以下の通りです:

基本的なHTTPフラッド攻撃

その名の通り、基本的なHTTPフラッド攻撃です。攻撃者は似た範囲のIPアドレスと資源を用い（ボリューム攻撃ほどの規模ではありませんが）、同一ページやアプリリソースに繰り返しアクセスします。通常、急激なリクエスト増加によりサーバは対処しきれず、最終的に停止します。

ランダムHTTPフラッド攻撃

こちらは先の手法とは少し異なり、攻撃者は広範なIPアドレスと資源を活用して、より巧妙な攻撃を展開します。ボットネットを用い、マルウェア感染済みの複数のデバイスから継続的にGET/POSTリクエストをサーバへ送信し、サイトが停止するまで攻撃が続く可能性があります。

キャッシュバイパスHTTPフラッド攻撃

これはランダムHTTP攻撃の一形態と捉えることができます。攻撃者は様々な手法でウェブアプリのキャッシュシステムを回避し、各リクエストごとに大量のデータ処理をサーバに強いるのです。例えば、キャッシュされていないコンテンツや通常の辞書検索を狙い、サーバ資源を無駄にし応答速度を低下させる場合が挙げられます。キャッシュバイパスフラッド攻撃は、最も巧妙なレイヤ7 DDoS攻撃と評価されます。

WordPress XML-RPCフラッド攻撃

この手法では、攻撃者が他の類似サイトのWordPressコールバック機能を悪用して攻撃を開始します。ランダムHTTPフラッド攻撃やキャッシュバイパスフラッド攻撃が、最も一般的なレイヤ7 DDoS攻撃です。

Slowloris攻撃

これらは最も単純でありながら一般的、さらには最も大きな被害を与えるアプリ層攻撃です。シンプルでありながら非常に危険なこの攻撃は、サーバに対して連続的なリクエストを送るのではなく、接続を長時間維持しながらペイロードを徐々に送信する手法を取ります。その結果、サーバは最終的に資源を使い果たし、他の利用者にサービスを提供できなくなります。

なぜレイヤ7 DDoS攻撃は危険なのか

通常のトラフィックと悪意あるリクエストを識別するには、多大な資源が必要です。特に、HTTPフラッドを行うボットネット攻撃の場合、本物に近いサービス要求を用いるため、見分けが難しくなります。

アプリ層攻撃は、事前に設定されたルールにより通常トラフィックをサーバに阻むシステムを標的としているため、ルール変更に弱い面があります。WAFなどのツールを活用することで、怪しいトラフィックがオリジンサーバへ到達するのを防ぎ、全体的な攻撃被害を軽減できます。

レイヤ7 DDoS攻撃が危険なのは、こうした悪影響に耐えられるサービスがごく限られているためです。多くのサイトは、l7攻撃により発生する大量のリクエストを迂回し、吸収することが困難です。

レイヤ7 DDoS攻撃の緩和策

前述の通り、手法自体は単純であるものの、その狡猾さと信頼を偽装する性質から、レイヤ7 DDoS攻撃の緩和は容易ではありません。これらの攻撃に対処するため、DDoS緩和ソリューションは以下の要件を満たす必要があります。

• 常時即時のセキュリティ提供と継続的な警告機能の実装
• カスタムルールやポリシーの設定が可能であること
• 実績のあるセキュリティ専門家のサービスを利用していること
• 将来の攻撃に備えたセキュリティ分析を提供すること
• 脅威活動への常時の可視性を確保すること

しかし、多くのDDoS緩和ソリューションは依然としてボリューム攻撃にのみ焦点を当て、レイヤ7攻撃に対する包括的な保護は提供していません。Wallarmのような、インテリジェントで包括的な管理型WAFを備えたDDoS保護サービスを選ぶことで、ウェブアプリが常に利用可能な状態を維持できます。環境を試すにはIP stresser toolをお試しください。