分散型サービス妨害 (DDoS) 攻撃は、今日の企業にとって繰り返し発生する問題になっています。これらのサイバー攻撃は容赦なく進化し続け、規模と複雑さが増しています。最近の複数の調査と注目を集めた侵害は、DDoS 攻撃の頻度が毎年、さらには四半期ごとに増加していることを示しています。
2022 年の第 2 四半期に、DDoS 攻撃は着実に増加し、脅威インテリジェンス会社 Kaspersky のレポートによると、 4 月の 1 日平均 731 件から 5 月には 845 件、6 月には 1195 件に増加しました。この DDoS 攻撃の頻度と影響の増加は、すべての企業が防御を強化するために特別な予防措置を講じる必要があることを意味します。
DDoS 攻撃とは何ですか?
DDoS 攻撃は、特定のネットワークまたはサーバーをフラッディングして圧倒し、最終的にオフラインにすることによって機能するサイバー攻撃の一種です。サーバーがその容量を超える大量のリクエストの対象になると、正当なリクエストに応答できなくなり、「サービス拒否」が発生します。
DDoS 攻撃は、いくつかの異なる形態を取ることができます。それらを分類する 1 つの方法は、OSI モデルに基づくものです。 OSI (Open Systems Interconnection) モデルは、異なるコンピューター システム間でネットワーク通信がどのように発生するかを説明する概念的なフレームワークです。このモデルは、1980 年代に国際標準化機構 (ISO) によって開発され、それぞれが特定の機能を持つ 7 つのレイヤーで構成されています。
アプリケーション層の DDoS 攻撃
アプリケーション層は、電子メール、Web ブラウジング、ファイル転送、その他のネットワーク アプリケーションなどのサービスをエンド ユーザーに提供する役割を果たします。これは、メッセージとパケットの作成が開始されるレイヤーであり、データベース アクセスが存在するレイヤーでもあります。 FTP、SMTP、Telnet、RAS などのエンドユーザー プロトコルもこの層で機能します。
DDoS 攻撃は、Web サーバーまたはアプリケーションを圧倒する目的で、OSI モデルのアプリケーション層 (レイヤー 7) を標的にすることができます。アプリケーション層の DDoS 攻撃には、HTTP (Hypertext Transfer Protocol) GET、HTTP POST、および Web サイトのフォームベースの攻撃が含まれます。これらの攻撃により、レイヤーは最終的にそのリソース機能の限界に達する可能性があります。
たとえば、HTTP スロー攻撃 (Slowloris 攻撃とも呼ばれます) は、HTTP プロトコルの脆弱性を悪用して Web サーバーを標的にします。この攻撃は、多数の未完了の HTTP 要求を標的のサーバーに送信し、それらの要求を完了することなく、できるだけ長く開いたままにすることによって機能します。
一方、HTTP フラッドは、大量の HTTP 要求で Web サーバーをフラッディングすることで Web サーバーを標的にし、サーバーを圧倒して正当なユーザーが使用できないようにすることを目的としています。大量のトラフィックは、CPU、メモリ、ネットワーク帯域幅などのサーバーのリソースを消費し、サーバーの速度低下やクラッシュを引き起こす可能性があります。
ネットワーク層 DDoS 攻撃
OSI モデルでは、ネットワーク層は、異なるネットワーク間のデータ パケットのルーティングと転送を処理し、論理アドレス指定とトラフィック制御を提供する層です。
DDoS 攻撃は、ターゲットのネットワーク帯域幅を消費することを目的として、OSI モデルのこのネットワーク レイヤー (レイヤー 3) をターゲットにすることもできます。ネットワーク層の DDoS 攻撃には、ICMP (インターネット制御メッセージ プロトコル) フラッド、ARP フラッド、IP (インターネット プロトコル) フラグメンテーション攻撃などの攻撃が含まれます。
ICMP フラッドは、IP ネットワークでの診断およびエラー報告の目的で使用される ICMP プロトコルを対象としています。このタイプの攻撃では、攻撃者は標的のシステムまたはネットワークに大量の ICMP パケットを送信し、システムのリソースを圧倒します。
ARP (Address Resolution Protocol) フラッドは、IP アドレスをローカル ネットワーク上の物理アドレスにマップするために使用される ARP プロトコルをターゲットにします。 ARP フラッド攻撃では、攻撃者は多数の ARP 要求を送信してネットワークをフラッディングし、ネットワークを使用不能にします。
IP フラグメンテーション攻撃は、ネットワーク間でパケットをルーティングするために使用される IP プロトコルを標的にします。この攻撃では、攻撃者は意図的に断片化されたパケットをターゲット システムまたはネットワークに送信し、ターゲット システムまたはネットワークが過剰なリソースを使用してそれらを再構築するようにします。
これらの攻撃の最終的な結果は、ファイアウォールに余分な負荷がかかり、利用可能なネットワーク帯域幅が侵害されることです。
ボリュームベースのトラフィック
ボリュームベースの DDoS 攻撃では、この方法は、ネットワーク帯域幅を超えて送信される膨大な量のトラフィックに依存しています。ユーザー データグラム プロトコルまたは UDP フラッドとインターネット制御メッセージ プロトコル (ICMP) フラッドは、ボリューメトリック攻撃の 2 つの一般的な形態です。 UDP フラッド攻撃では、攻撃者は UDP 形式を使用して整合性チェックをスキップし、増幅攻撃と反射攻撃を生成します。
たとえば、DNS 増幅攻撃は、ボリューム DDoS 攻撃の 1 つのタイプであり、攻撃者はオープンに要求を行います。 DNS サーバー (被害者の) IP スプーフィング アドレスを使用して、トラフィック増幅攻撃でターゲット サーバーを圧倒します。 ICMP フラッドでは、攻撃者がネットワーク ノードに偽のエラー リクエストを送信して、実際のリクエストに応答できないようにします。ここでの攻撃者の目標は、侵害されたデバイスからできるだけ多くのリクエストを短時間で送信することです。
DDoS 攻撃の別の分類には、意図した結果が含まれます。フラッディング用のものもあれば、クラッシュ用のものもあります。
フラッディング DDoS 攻撃
これらは、大量のデータを使用してサーバーをダウンさせることを目的とした攻撃です。たとえば、ICMP フラッドまたは ping フラッドは、データ パケットを送信してコンピューターのネットワークを圧倒し、コンピューターをまとめてダウンさせます。上記のネットワーク層攻撃で説明した SYN フラッドも、同様のベースで動作するものです。
クラッシュする DDoS 攻撃
このタイプの DDoS 攻撃では、攻撃者は侵害されたシステムにバグを送信して、システムのインフラストラクチャの弱点を利用します。これにより、ルーターやファイアウォールにパッチが適用されていない場合に悪用される可能性のある欠陥が露呈し、システム クラッシュにつながる可能性があります。
トランスポート層 DDoS 攻撃
トランスポート層は、コンピューターやサーバーなどのエンド システム間で信頼性の高いエラーのないデータ配信を保証します。また、エラー検出、フロー制御、および輻輳回避のメカニズムを提供し、レイヤー 1 ~ 3 からのメッセージの送信を管理します。
これらの攻撃は、OSI モデルのトランスポート層 (レイヤー 4) を標的とし、標的のサーバーまたはネットワーク デバイスに過負荷をかけることを目的としています。トランスポート層の DDoS 攻撃には、SYN (同期) フラッド、TCP (伝送制御プロトコル) フラッド、UDP (ユーザー データグラム プロトコル) フラッドが含まれます。トランスポート層への攻撃は、ホストまたはネットワーク機器の到達帯域幅または接続を制限する可能性があります。
SYN フラッドは、ネットワーク上のデバイス間の接続を確立するために使用される TCP (Transmission Control Protocol) プロトコルを対象としています。 SYN フラッド攻撃では、攻撃者は多数の TCP SYN 要求をターゲット システムに送信しますが、接続を完了せず、接続を半分開いたままにし、システムのリソースを圧倒します。
同様に、TCP フラッドは、大量の TCP パケットをターゲット システムまたはネットワークに送信して、システムのリソースを消費し、それを利用できないようにすることで、TCP プロトコルをターゲットにします。また、UDP フラッドは、低遅延でロストレラントな通信に使用される UDP プロトコルをターゲットにしています。
最も一般的な DDoS 攻撃のタイプは何ですか?
3 つのタイプの DDoS 攻撃はすべてサイバー環境で蔓延していますが、おそらく最も一般的なタイプはネットワーク レイヤーの DDoS 攻撃です。具体的には、攻撃者が標的のシステムまたはネットワークに大量の UDP パケットを送信する UDP フラッドです。 UDP はコネクションレス プロトコルであるため、パケットは確認されず、攻撃者はパケットを非常に高速で送信できます。これにより、ターゲット システムまたはネットワークが処理しきれないほどのトラフィックであふれ、正当なユーザーが使用できなくなる可能性があります。
DDoS 攻撃による被害
DDoS 攻撃は、攻撃の性質と規模、および攻撃を処理するターゲット システムまたはネットワークの能力に応じて、非常に損害を与える可能性があります。企業や政府機関を標的にした場合も同様に危険です。
たとえば、ハッカーは最近、ドイツ軍と国防省の Web サイトに対して DDoS 攻撃を開始し、それらを一時的に利用できなくしました。
Kaspersky によると、米国が最も多くの DDoS 攻撃を受けており、2022 年の第 2 四半期には米国のシェアがわずかに上昇して 45.95% になりました。シンガポールのユニークな標的のシェア (3.22%) もこの期間に増加し、第 1 四半期の 2 倍以上になりました。 2022 年。ルーマニア情報局 (SRI) によると、ルーマニア、米国、エストニア、ポーランド、チェコ共和国の機関に対しても DDoS 攻撃が開始されました。
DDoS 緩和
DDoS 緩和の鍵は、警戒を怠らず、検出プロセスを早期に開始することです。たとえば、デバイスの種類、IP アドレス、場所など、属性が同じまたは類似している異常なクライアントからの大量のトラフィックなど、異常な DDoS 固有の症状を探します。さらに、堅牢なネットワーク トラフィックの監視と分析を採用することも重要です。これらは、侵入または異常なトラフィック負荷が発生した場合に警告を発し、 DDoS 攻撃から保護するのに役立ちます。
さらに、 CDNetworks の Flood Shieldなどのツールを使用すると、さらに一歩進めることができます。 Flood Shield は、リアルタイムで DDoS 防御を提供するクラウドベースの DDoS 防御サービスです。また、オリジン サイトとパブリック ネットワークの間にファイアウォールを展開し、レート制限、ポート制限、脅威インテリジェンスなどの手法により、あらゆる種類の DDoS 攻撃に対する特別な対策を提供します。
