これらの攻撃は、TCP/IP (ネットワーク層攻撃) や HTTP (アプリケーション層攻撃) などのプロトコルやその実装の弱点を標的にしています。通常、これらの攻撃は、サーバーがコンピューターからパケットまたは要求を取得し、さらなる通信を期待するシナリオを悪用します。サーバーは、セッション状態と通信チャネルを維持するためにメモリとリソースを割り当てますが、意図的に通信を遅くしたり停止したり、そのようなリソースを枯渇させたりすることで悪用されます。
これらのプロトコルベースの攻撃は、インターネットや Web アプリケーションの動作の基本的なメカニズムを悪用するため、特に深刻な被害をもたらす可能性があります。ネットワーク層攻撃では、SYN フラッドなどの手法で TCP ハンドシェイク プロセスが悪用されます。攻撃者はサーバーに大量の SYN 要求を送信しますが、ACK 応答でハンドシェイクを完了しません。サーバーはハンドシェイクの最終ステップを待機し、これらの不完全なセッションを開いたままにしてリソースを消費し、最終的には正当な要求を処理できなくなります。
一方、アプリケーション層攻撃は、Web アプリケーションの特定の機能をターゲットにします。たとえば、Slowloris は、攻撃者がサーバーへの接続を開始するものの、HTTP ヘッダーを不完全かつ遅い方法で送信する悪名高い攻撃です。サーバーは、ヘッダーが完了することを期待して、これらの各接続を開いたままにします。これにより、サーバーのリソースが徐々に枯渇し、正当なユーザーに対するサービス拒否につながります。
これらの攻撃は、標的のサーバーへの影響に比べて攻撃者側で必要なリソースが少ないため、巧妙です。比較的少数のマシン、または 1 台のマシンでもこのような攻撃を開始できるため、その効率性と有効性から、攻撃者の間で好まれる戦術となっています。
プロトコル DDoS 攻撃の例
プロトコル DDoS 攻撃は、ネットワーク プロトコルの特定の弱点を悪用してサービスを妨害します。一般的な例は次のとおりです。
- SYNフラッド攻撃者はターゲット サーバーに大量の SYN 要求を送信しますが、ハンドシェイクを完了せず、接続が半分開いたままになり、サーバーのリソースを消費します。
- ICMPフラッド攻撃者は ICMP エコー要求 (ping) パケットでターゲットを圧倒し、ネットワークの速度を大幅に低下させたり停止させたりします。
- 死の音: 攻撃者は、最大許容サイズを超えるパケットを含む悪意のある ping を送信し、ターゲット システムをフリーズまたはクラッシュさせます。
- フラグルアタック: Smurf 攻撃に似ていますが、ICMP ではなく UDP (ユーザー データグラム プロトコル) を使用し、UDP エコー パケットをブロードキャスト アドレスに送信します。
- NTP増幅: 小さなリクエストを送信してターゲットに大きな応答を返し、攻撃トラフィックを増幅することで、ネットワーク タイム プロトコル (NTP) サーバーを悪用します。
- DNS増幅: DNS サーバーを使用して、ターゲットに大きな応答をもたらす DNS クエリを送信することで攻撃を増幅します。
これらの攻撃はいずれも、標的のサーバーのリソースや帯域幅を使い果たし、サービスを不安定にしたり利用できなくしたりすることを目的としています。
プロトコル攻撃を軽減する方法
これらのプロトコルベースの攻撃から防御するには、多層的なアプローチが必要です。レート制限の実装、不完全なセッションのタイムアウトの設定、Web アプリケーション ファイアウォール (WAF) の導入は、効果的な戦略です。さらに、ネットワーク トラフィックを監視して異常を検出し、侵入防止システムを導入すると、これらの攻撃を特定して軽減するのに役立ちます。これらの防御は、これらの高度な攻撃方法に直面してもオンライン サービスの信頼性と可用性を確保する上で重要です。
その結果、プロトコル DDoS 攻撃を軽減するには、これらの攻撃のリスクと影響を軽減するための予防的対策と事後的対策を組み合わせる必要があります。
- 包括的な監視: ネットワーク トラフィックを継続的に監視し、攻撃の兆候となる可能性のある異常な急増やパターンを特定します。
- 堅牢なインフラストラクチャ: 攻撃中に増加したトラフィック負荷を吸収できる、スケーラブルで回復力のあるインフラストラクチャを実装します。
- 多層セキュリティ戦略: レート制限などのさまざまなセキュリティ対策を導入する。 ウェブ・アプリケーション・ファイアーウォール/WAF、およびDDoS対策テクノロジー。
- 緊急対応計画: 攻撃が発生した場合に迅速に実行できる、明確でテスト済みのインシデント対応計画を確立します。
These strategies enable businesses to effectively DDoS攻撃を防ぐ and maintain uninterrupted services.
CDNetworks によるプロトコル DDoS 攻撃に対する防御
CDNetworksは、高度な技術によりプロトコルDDoS攻撃を効果的に防御します。 DDoS 防御サービス グローバルに分散されたインフラストラクチャ。ネットワーク層保護とアプリケーション層保護を組み合わせることで、CDNetworks は大規模な DDoS 攻撃をリアルタイムで検出して軽減できます。同社のグローバル スクラビング センターは悪意のあるトラフィックをフィルタリングし、クリーンなトラフィックのみがオリジン サーバーに到達するようにします。さらに、CDNetworks は 2,800 の PoP を備えた世界有数のネットワークを利用して複数のサーバーと場所にトラフィックを分散し、大規模な攻撃の影響を吸収して分散させ、単一のサーバーまたは場所が過負荷になるのを防ぎます。
さらに防御を強化するために、CDNetworks は、リクエストの数を制御し、プロトコル DDoS 攻撃に関連する悪意のあるパケットをブロックするためのレート制限と高度なフィルタリング技術を実装しています。同社の柔軟でスケーラブルなインフラストラクチャは大量のトラフィックを処理できるため、攻撃中でも正当なユーザーが中断なくアクセスできるようになります。継続的なトラフィック監視と脅威インテリジェンスにより、CDNetworks は防御策を積極的に調整できます。さらに、カスタマイズされたセキュリティ ポリシーと緊急対応チームによる 24 時間 365 日のサポートにより、攻撃に対する迅速かつ効果的な対応が保証されます。
CDNetworks はこれらの機能を活用して、プロトコル DDoS 攻撃に対する包括的な保護を提供し、クライアントの Web アプリケーションとサービスの可用性、パフォーマンス、セキュリティを保証します。