DDoS攻撃と対策

分散型サービス拒否攻撃には様々な種類がある。

以下にその種類を説明する。 

1. ‍アプリ層攻撃 

このタイプのDDoS攻撃は最も一般的で、よく知られている。狙いは特にウェブアプリを含む特定のアプリを攻撃することにある。攻撃者はこれらのアプリの弱点を探し出し、正常なサービスが行われなくなるよう攻撃を仕掛ける。時が経つにつれ、アプリ層攻撃を守る方法も開発された。しかし、古い防御策は十分でなく、攻撃者はますます巧妙になっている。アプリ層攻撃の手法は多様である。

‍ボーダーゲートウェイプロトコル乗っ取り – このタイプのDDoS攻撃は、対象となるウェブアプリのトラフィックを攻撃者側に向けて誘導するものです。攻撃者は対象企業のアドレスプレフィックスを自社のものと偽装することで、本来対象に向かうはずのトラフィックを自所に引き寄せます。 

‍ジャンボペイロード攻撃 – このアプリ層攻撃は、巨大なデータを送ることでアプリを機能停止に追い込むことを目的としています。攻撃では、XMLで符号化されたデータが対象ウェブアプリのサーバに送信され、解析時に大量のメモリを消費させ、結果としてメモリ不足からクラッシュさせます。

ユーザデータグラムプロトコル攻撃 – この攻撃はランダムに行われ、攻撃者はUDPを用いて対象ホストのランダムなポートに大量のパケットを送り込みます。ネットワークがUDPで溢れると、通常の利用者への応答ができなくなり、利用者がアクセスすると到達不能のメッセージが返されます。 

‍なりすましユーザ攻撃 – 名前の通り、攻撃者はボットネットを使い、普通の利用者を装って特定のアプリにアクセスします。大量のボットネットを用いることで、対象サイトに過剰なトラフィックが発生し、本来の利用者へのサービスが停止してしまいます。

2. ‍ボリューム攻撃

‍名前の通り、膨大なデータでサーバやアプリ、ネットワークを攻撃するものです。攻撃者は大量の情報を送って対象を停止状態に陥らせます。多くの攻撃者はボリューム攻撃を最も容易なDDoS攻撃とみなしています。場合によっては、攻撃によりDDoS対策システムすら機能不全に陥ることもあります。つまり、膨大なデータでウェブアプリ、サーバ、ネットワーク間の通信容量を使い果たすのです。ボリュームDDoS攻撃には様々な例が存在します。 

IPセキュリティ攻撃 – この攻撃は、対象ネットワークのIPセキュリティに特化し、そのリソースを枯渇させることを目的としています。

IPフラグメンテーション攻撃 – この攻撃では、大きなデータ（IPパケット）が細分化され、対象ネットワークに送られます。小さな単位が集まり元のパケットに再構成される際、そのサイズがネットワークの許容量を超えると、全リソースを消費させることを狙っています。 

3. ‍リフレクション攻撃

この攻撃では、攻撃者が対象のIPを装い（スプーフィング）、プロトコルを用いてサーバから情報を要求させます。多くの場合、UDPやTCPが用いられ、サーバは対象アドレスに多数のリクエストに応答しようとします。

簡単に言えば、攻撃者が対象を偽装することで、応答が攻撃者のアドレスから対象へ向けて反射されるのです。通常、この種の攻撃はトラフィック量が大きく、ネットワーク管理者が気付くほどで、特別な技術を必要とせず、場合によっては防ぎにくいです。 

ドメインネームシステム (DNS) DDoS攻撃

ドメインネームシステムは、ウェブサイトの電話帳と考えると分かりやすい。各ウェブサイトの名前とIPアドレスを対応付ける仕組みで、番号と名前が紐付けられたレジストリのようなものです。この名前のカタログは、世界中のDNSサーバに保存されています。

IDおよび対応付けの役割に加え、DNSはウェブサイトの安全性を保つ手段でもあります。そのため、常にDDoS攻撃の標的となります。DNSシステムが攻撃されると、組織の識別情報と安全性の両方が損なわれる危険があります。ドメイン攻撃の手法も様々です。

TCP SYN攻撃 – このDDoS攻撃は、ユーザとサーバの接続確立手順「スリーウェイハンドシェイク」を悪用します。攻撃者はこの手法を乱用して大量のリソースを消費させ、ネットワークを停止させるのです。通常、ユーザとサーバ間の接続には以下の3段階が必要です:

• ユーザのPCがSYNパケットを送って接続要求を行う
• サーバがSYN-ACKで応答する
• 利用者がACKで返答する

この接続手順は「スリーウェイハンドシェイク」と呼ばれます。TCP SYN攻撃では、攻撃者が偽のIPアドレスを用い、対象サーバに複数回接続要求を送るため、サーバは正規の要求と判断して応答し、リソースが使い果たされます。その結果、サーバは通常の利用者に「接続切断」メッセージを返します。 

DNS増幅攻撃 – この攻撃はその名前通り、攻撃者が大量のDNS問い合わせを行い、ネットワークを機能停止に陥らせるものです。問い合わせを通常よりも大きなサイズで送るため、サーバは通常より大きな応答を返し、その結果、データ転送容量が圧迫されます。応答の大きさを利用するのが、この攻撃の基本原理です。

通常、DNS問い合わせには問い合わせサイズよりも若干大きな応答が返されます。つまり、大きな問い合わせを送れば、サーバはそれに見合った大きな応答を返すことになり、さらにリフレクション攻撃と組み合わせることで、対象IPに向けてその大きな応答が反射されます。まるで凹面鏡で僅かな光を増幅して反射するように、ネットワークの通信容量と対象IPの双方に影響を及ぼします。

スロー率DDoS – この攻撃は、HTTPに焦点を当てた低速攻撃であり、外部からのパケットをゆっくりと一定速度で送信します。低速なため通常のトラフィックとの区別がつきにくく、単一のコンピュータからでも実行可能です。攻撃者はR.U.D.Yやsock stressといったツールを使用します。

HTTPフラッド攻撃 – スロー率攻撃同様、通常のトラフィックと見分けがつきにくい攻撃です。実際、HTTPSフラッドの方が検知が難しい場合もあります。攻撃者はマルウェアで連結された複数のコンピュータを使い、正規のリクエストを送ってアプリに同時多発の負荷をかけます。そのため、表面的には正当なアクセスに見え、防御や検知が困難です。

Pingフラッド攻撃 – 通常、ICMP（ping）は機器の状態確認に用いられる診断プロトコルですが、DDoS攻撃者はこれを大量に送り、ネットワークを溢れさせます。その結果、送られたpingの数だけ応答が返り、他の通常の利用者がアクセスできなくなります。

DDoS攻撃の規模 

DDoS攻撃の規模はさまざまで、Web上で見られる多くの攻撃は比較的小規模ながらも、現代のネットワークの運用に支障をきたすに十分な量です。攻撃の有効性は防御体制に左右され、記録された攻撃の中には毎秒2.5テラバイトから500テラバイトにも及ぶものもあります。いずれにしても、DDoS攻撃の規模に一定の基準は存在しません。

‍

DDoS攻撃の防ぎ方と対応策

道と交通の例えを使って考えてみよう。混雑した道路をうまく管理するには、本物の車と迷い込んだ車を見分ける必要がある。同様に、DDoS攻撃への対応も正規トラフィックと不正なものを識別することから始まるのです。

スプーフィング攻撃では、攻撃者が通常トラフィックに紛れるため、正規利用者まで誤って排除しないよう十分注意する必要があります。

以下に、これらの攻撃を防ぐ方法、被害を抑える対策、そして迅速に復旧するための手法を紹介する。

1. ‍油断せずに備える - 他の攻撃同様、DDoSを予測し防御計画を整えることが非常に重要です。各種DDoS攻撃の特徴が把握できたなら、貴社のネットワーク、サービス、アプリに適した即時対応計画を用意すべきです。例えば、利用可能なネットワーク防御システムは多数存在します。 
2. 常にDDoSツールで防御策をテストする – DDoS攻撃に備えるもう一つの方法は、実験的な攻撃を繰り返し実施し、セキュリティシステムの効果を確認することです。これにより、非常時に備えた対応訓練も行えます。現在、各種のDDoSツールが存在し、それぞれ異なるテスト環境を提供しています。以下は、現在利用可能な無料DDoS攻撃ツールの10例です:

• Pyloris
• DDOSIM – DDoSシミュレータ
• Low Orbit Ion Canon (LOIC)
• High Orbit Ion Canon (HOIC)
• HTTP Unbearable Load King (HULK)
• Open Web Application Security Project (OWASP) HTTP POST
• Thor's Hammer
• Golden Eye
• RUDY (R-U-Dead_Yet)
• DAVOSET

3. ‍ウェブアプリ防火壁の利用 – アプリが攻撃されている場合、WAFを用いて危険なトラフィックを最小限に抑えることができる。防火壁は、あらかじめ定めたルールに基づき、攻撃者からの疑わしいトラフィックをブロックする。この方法は、レイヤー7のDDoS攻撃に特に効果的である。
4. ‍ブラックホールルートの利用 – 道路が混雑している際、車を空いている別のルートに誘導するように、ブラックホールルーティングはサーバやネットワーク、アプリへの過剰なトラフィックを別経路に流す仕組みです。ただし、正規トラフィックを維持するための条件設定が必要で、さもなければ良いトラフィックも一緒に排除されてしまいます。 
5. サーバへのリクエスト率の制限 – この方法は、DDoS攻撃の被害を軽減し、防ぐ手段として有効です。ネットワークセキュリティのプロトコルとして設定すれば、正規利用者と攻撃者を区別せずに、サーバが受け入れるリクエスト数を制限できます。攻撃が確認された場合に即座に有効となる、最も実践的な対策です。 
6. ネットワーク拡散 – 拡散とは、高濃度の場所から低濃度の場所へ物質が広がる現象です。DDoS攻撃の場合、膨大なトラフィックを複数の小さなチャネルに振り分け、混雑を和らげます。 
7. DDoS攻撃に耐えるためには、負荷テストが必要です。IPストレッサーツールがその手助けとなります。

結論

サービス拒否攻撃は、現代のサイバー空間で最も一般的な攻撃の一つです。安心してネットを利用するためには、基本的な攻撃の種類と、それぞれから守る方法を知ることが重要です。防御策に加え、サイバーセキュリティの専門家を活用する方法もあります。何より、インターネットでの安全な体験を守ることが最も大切です。