分散型サービス拒否攻撃は、複数の供給元からのトラフィックでPCやサイバーサービスを利用不能にする攻撃です。複数ホストのリソースを使い、いわゆるラッシュアワーの渋滞を発生させることで、対象が正常に機能できなくなります。例えるなら、混雑した道路から車が空いている道へ流され、本来の車線に収まりきれず、交通が滞る状況と同じです。一度に大量のトラフィックが押し寄せると、システムが停止してしまいます。
以下にその種類を説明する。
このタイプのDDoS攻撃は最も一般的で、よく知られている。狙いは特にウェブアプリを含む特定のアプリを攻撃することにある。攻撃者はこれらのアプリの弱点を探し出し、正常なサービスが行われなくなるよう攻撃を仕掛ける。時が経つにつれ、アプリ層攻撃を守る方法も開発された。しかし、古い防御策は十分でなく、攻撃者はますます巧妙になっている。アプリ層攻撃の手法は多様である。
ボーダーゲートウェイプロトコル乗っ取り – このタイプのDDoS攻撃は、対象となるウェブアプリのトラフィックを攻撃者側に向けて誘導するものです。攻撃者は対象企業のアドレスプレフィックスを自社のものと偽装することで、本来対象に向かうはずのトラフィックを自所に引き寄せます。
ジャンボペイロード攻撃 – このアプリ層攻撃は、巨大なデータを送ることでアプリを機能停止に追い込むことを目的としています。攻撃では、XMLで符号化されたデータが対象ウェブアプリのサーバに送信され、解析時に大量のメモリを消費させ、結果としてメモリ不足からクラッシュさせます。
ユーザデータグラムプロトコル攻撃 – この攻撃はランダムに行われ、攻撃者はUDPを用いて対象ホストのランダムなポートに大量のパケットを送り込みます。ネットワークがUDPで溢れると、通常の利用者への応答ができなくなり、利用者がアクセスすると到達不能のメッセージが返されます。
なりすましユーザ攻撃 – 名前の通り、攻撃者はボットネットを使い、普通の利用者を装って特定のアプリにアクセスします。大量のボットネットを用いることで、対象サイトに過剰なトラフィックが発生し、本来の利用者へのサービスが停止してしまいます。
名前の通り、膨大なデータでサーバやアプリ、ネットワークを攻撃するものです。攻撃者は大量の情報を送って対象を停止状態に陥らせます。多くの攻撃者はボリューム攻撃を最も容易なDDoS攻撃とみなしています。場合によっては、攻撃によりDDoS対策システムすら機能不全に陥ることもあります。つまり、膨大なデータでウェブアプリ、サーバ、ネットワーク間の通信容量を使い果たすのです。ボリュームDDoS攻撃には様々な例が存在します。
IPセキュリティ攻撃 – この攻撃は、対象ネットワークのIPセキュリティに特化し、そのリソースを枯渇させることを目的としています。
IPフラグメンテーション攻撃 – この攻撃では、大きなデータ(IPパケット)が細分化され、対象ネットワークに送られます。小さな単位が集まり元のパケットに再構成される際、そのサイズがネットワークの許容量を超えると、全リソースを消費させることを狙っています。
この攻撃では、攻撃者が対象のIPを装い(スプーフィング)、プロトコルを用いてサーバから情報を要求させます。多くの場合、UDPやTCPが用いられ、サーバは対象アドレスに多数のリクエストに応答しようとします。
簡単に言えば、攻撃者が対象を偽装することで、応答が攻撃者のアドレスから対象へ向けて反射されるのです。通常、この種の攻撃はトラフィック量が大きく、ネットワーク管理者が気付くほどで、特別な技術を必要とせず、場合によっては防ぎにくいです。
ドメインネームシステムは、ウェブサイトの電話帳と考えると分かりやすい。各ウェブサイトの名前とIPアドレスを対応付ける仕組みで、番号と名前が紐付けられたレジストリのようなものです。この名前のカタログは、世界中のDNSサーバに保存されています。
IDおよび対応付けの役割に加え、DNSはウェブサイトの安全性を保つ手段でもあります。そのため、常にDDoS攻撃の標的となります。DNSシステムが攻撃されると、組織の識別情報と安全性の両方が損なわれる危険があります。ドメイン攻撃の手法も様々です。
TCP SYN攻撃 – このDDoS攻撃は、ユーザとサーバの接続確立手順「スリーウェイハンドシェイク」を悪用します。攻撃者はこの手法を乱用して大量のリソースを消費させ、ネットワークを停止させるのです。通常、ユーザとサーバ間の接続には以下の3段階が必要です:
この接続手順は「スリーウェイハンドシェイク」と呼ばれます。TCP SYN攻撃では、攻撃者が偽のIPアドレスを用い、対象サーバに複数回接続要求を送るため、サーバは正規の要求と判断して応答し、リソースが使い果たされます。その結果、サーバは通常の利用者に「接続切断」メッセージを返します。
DNS増幅攻撃 – この攻撃はその名前通り、攻撃者が大量のDNS問い合わせを行い、ネットワークを機能停止に陥らせるものです。問い合わせを通常よりも大きなサイズで送るため、サーバは通常より大きな応答を返し、その結果、データ転送容量が圧迫されます。応答の大きさを利用するのが、この攻撃の基本原理です。
通常、DNS問い合わせには問い合わせサイズよりも若干大きな応答が返されます。つまり、大きな問い合わせを送れば、サーバはそれに見合った大きな応答を返すことになり、さらにリフレクション攻撃と組み合わせることで、対象IPに向けてその大きな応答が反射されます。まるで凹面鏡で僅かな光を増幅して反射するように、ネットワークの通信容量と対象IPの双方に影響を及ぼします。
スロー率DDoS – この攻撃は、HTTPに焦点を当てた低速攻撃であり、外部からのパケットをゆっくりと一定速度で送信します。低速なため通常のトラフィックとの区別がつきにくく、単一のコンピュータからでも実行可能です。攻撃者はR.U.D.Yやsock stressといったツールを使用します。
HTTPフラッド攻撃 – スロー率攻撃同様、通常のトラフィックと見分けがつきにくい攻撃です。実際、HTTPSフラッドの方が検知が難しい場合もあります。攻撃者はマルウェアで連結された複数のコンピュータを使い、正規のリクエストを送ってアプリに同時多発の負荷をかけます。そのため、表面的には正当なアクセスに見え、防御や検知が困難です。
Pingフラッド攻撃 – 通常、ICMP(ping)は機器の状態確認に用いられる診断プロトコルですが、DDoS攻撃者はこれを大量に送り、ネットワークを溢れさせます。その結果、送られたpingの数だけ応答が返り、他の通常の利用者がアクセスできなくなります。
DDoS攻撃の規模
DDoS攻撃の規模はさまざまで、Web上で見られる多くの攻撃は比較的小規模ながらも、現代のネットワークの運用に支障をきたすに十分な量です。攻撃の有効性は防御体制に左右され、記録された攻撃の中には毎秒2.5テラバイトから500テラバイトにも及ぶものもあります。いずれにしても、DDoS攻撃の規模に一定の基準は存在しません。
道と交通の例えを使って考えてみよう。混雑した道路をうまく管理するには、本物の車と迷い込んだ車を見分ける必要がある。同様に、DDoS攻撃への対応も正規トラフィックと不正なものを識別することから始まるのです。
スプーフィング攻撃では、攻撃者が通常トラフィックに紛れるため、正規利用者まで誤って排除しないよう十分注意する必要があります。
以下に、これらの攻撃を防ぐ方法、被害を抑える対策、そして迅速に復旧するための手法を紹介する。
サービス拒否攻撃は、現代のサイバー空間で最も一般的な攻撃の一つです。安心してネットを利用するためには、基本的な攻撃の種類と、それぞれから守る方法を知ることが重要です。防御策に加え、サイバーセキュリティの専門家を活用する方法もあります。何より、インターネットでの安全な体験を守ることが最も大切です。
最新情報を購読