分散型サービス拒否(DDoS)攻撃

DDoS攻撃の仕組み

DDoS 攻撃はボットネットから始まります。ボットネットは、DDoS 攻撃やその他の悪意のある用途を目的として設計された悪意のあるソフトウェアに感染したコンピューターのネットワークです。ユーザーは、ソフトウェアやオペレーティング システムの既知のエクスプロイトを利用して、フィッシング メール、感染した Web サイト、さらにはソーシャル ネットワークを通じて感染したソフトウェアをダウンロードさせる可能性があります。

これらのコンピューターが感染すると、ボットネットの「ラングラー」は、ユーザーの知らないうちに、1つのアプリケーションからリモートでこれらすべてのマシンを制御できます。ボットネットが十分に大きくなると、ネットワークを使用してあらゆるターゲットに対して攻撃を仕掛けることができます。

ボットネットの準備ができたら、攻撃者は開始コマンドを送信し、ボットネット内のすべてのマシンに意図したターゲットに大量のリクエストを送信させることができます。攻撃が防御を突破すると、ほとんどのシステムをすぐに圧倒し、サービス停止を引き起こし、サーバーをクラッシュさせる可能性があります。

ボットネットを作成した多くの攻撃者は、オンラインおよびダークネットマーケットプレイスで有料でサービスを提供し、誰でもDDoS攻撃を仕掛けることができます。

DDoS攻撃の種類

DDoS 攻撃には、攻撃者が何をしようとしているかに応じて、さまざまな形があります。大きく分けて、ボリュームベースの攻撃、プロトコル攻撃、アプリケーション層攻撃の3つに分けられます。

ボリュームベースの攻撃

このタイプの攻撃は、ターゲットとインターネットの間で利用可能なすべての帯域幅を使用しようとします。これを行う方法の 1 つは、なりすまし IP アドレス (ターゲットの IP アドレス) を DNS サーバーにフラッディングし、ターゲットに対してはるかに大きな DNS 応答をトリガーする増幅です。SNMP および NTP プロトコルは、ボリュームベースの攻撃でも使用されます。最終的に、ターゲットが受信している応答はネットワークを詰まらせ、受信トラフィックをブロックします。

プロトコル攻撃

プロトコル攻撃は、ロードバランサーやファイアウォールなどのネットワーク機器のリソースを使い果たすことで、サービスを中断します。これらの攻撃は、プロトコルスタックのネットワーク層とデータリンク層を標的にしています。プロトコル攻撃の 1 つのタイプは、SYN フラッドと呼ばれます。このタイプの攻撃は、TCP ハンドシェイクを使用してネットワークをフラッディングします。ボットネットは、なりすましの IP アドレスを使用して、大量の TCP 初期接続要求 SYN パケットをターゲットに送信します。ターゲットマシンのリソースは使い果たされ、決して起こらないこれらすべての要求の最終ステップを待っています。

アプリケーション層攻撃

このタイプの DDoS 攻撃は、ネットワーク上で実行されているアプリケーション、特に HTTP リクエストに応答する Web アプリケーションを標的とします。HTTP 要求はクライアントにとって軽量ですが、応答を生成するためにサーバーから多くのリソースを必要とする場合があります。1 つの要求には、コード実行、複数の画像要求、およびデータベース クエリが含まれる場合があります。アプリケーション層攻撃を使用するボットネットは、各ノードから同じ Web ページに同時にヒットするだけで、サーバーをダウンさせることができます。

DDoS攻撃の症状

DDoS攻撃の症状は、明らかに突然遅くなったり応答しなくなったりしたサイトまたはサービスですが、すべての遅いサイトが攻撃されているわけではありません。トラフィックの急増や正当なサーバーの問題により、同じ種類の応答不能が発生する可能性があります。

DDoS 攻撃を受けているかどうかを判断するには、トラフィック分析ツールを使用してさらに調査し、どのような種類のトラフィックを受け取っているのか、どこから来ているのか、どこへ向かっているのかを判断する必要があります。DDoS 攻撃の兆候には次のようなものがあります。

• 単一の IP アドレスまたはアドレスの範囲からの異常な量のトラフィック
• 1 日の奇妙な時間、限られた時間、またはパターンに従って発生するトラフィックの奇妙なスパイク
• 1 つの Web ページまたはサービスへのトラフィックの突然の洪水
• 位置情報、ブラウザのバージョン、デバイスの種類など、類似したプロファイルを持つユーザーからのトラフィックの洪水

DDoS攻撃の防止

DDoS 攻撃からネットワークを保護することは、最も簡単な作業ではありません。感染したシステムから削除できるマルウェアやウイルスとは異なります。DDoS 攻撃はネットワークの外部から発生し、詳細を調べるまでは通常のトラフィックのように見える場合があります。DDoS 攻撃は数分で Web サイトやサービスをダウンさせる可能性があるため、DDoS 攻撃が検出されたら迅速に行動することが重要です。

ルーターを保護する

ルーターは、ネットワークに出入りするゲートウェイです。ボットネット内のボットがルーターを通過できない場合、ルーター上のサービスに影響を与えることはできません。これは防御の第一線であり、優先度でトラフィックをフィルタリングし、脅威となるデータやトラフィックをブロックするように構成する必要があります。

IoTデバイスの保護

ラップトップや携帯電話を保護する多くの人は、IoT デバイスにデフォルトのパスワードを残すことについてよく考えません。多くのIoTデバイスは、ボットネットのボットとなるマルウェアの標的となる可能性のある完全なLinuxオペレーティングシステムを実行しています。このため、彼らはお気に入りのターゲットです。強力なパスワードで IoT デバイスを保護することで、ボットネット内の別のボットになるのを防ぐことができます。

機械学習を使用する

DDoS 攻撃の検出には、トラフィック分析が含まれます。これは手動で行うこともできますが、機械学習テクノロジーは悪意のあるトラフィックを迅速に検出できます。トラフィックは、既知のDDoSパターンや異常についてリアルタイムで分析でき、疑わしいトラフィックは、サービスやWebサイトの速度を低下させる前にブロックできます。

Conclusion

分散型サービス拒否攻撃または DDoS 攻撃は、システムを過負荷にするリクエストを大量に送り込んで、Web サイトまたはサービスへのアクセスをブロックしようとする試みです。攻撃者は、選択したサイトやサービスを標的にするために使用できるマルウェアでマシンの軍隊を感染させることでこれを実現します。DDoS 攻撃のトラブルシューティングと防止は簡単ではなく、トラフィックの異常を分析する必要がありますが、適切なツールを使用すると、DDoS 攻撃を疎外または防止できます。