DDoS攻撃の種類と防御方法

ブログ

様々なタイプのDDoS攻撃がデジタル世界に大きな破壊をもたらしている。

byアホナ・ルドラ

読書時間 10
DDoS攻撃の種類と防御方法
目次-

サイバー脅威の中でも、分散型サービス拒否(DDoS)攻撃とそのタイプは、最も狡猾で広範囲に広がっている。ある報告書によると、2022年には 74%の増加増加している。初期段階であっても、組織はDDoS攻撃を防ぐための対策を講じる必要があります。DDoS対策は、悪意のある行為者がネットワークにトラフィックを殺到させ、恒久的または一時的にシャットダウンさせることを可能にするため、重要である。トラフィックの過負荷は接続を中断させ、正当なユーザーがウェブサイトを訪問できないようにします。

基本的に、DDoS攻撃(Distributed Denial of Service)とは、ハッカーが偽のトラフィックで過負荷をかけることで、ネットワークやサーバーをクラッシュさせようとするサイバー犯罪である。メッセージ、接続要求、またはデータパケットの予期せぬ急増は、ターゲットとなるシステムを圧倒し、低速化またはシャットダウンを引き起こします。様々なタイプのDDoS攻撃の加害者やハクティビストの動機は、多くの場合、業務運営を妨げたり、意図したユーザーがウェブサイトやアプリケーションにアクセスできないようにするために、ターゲットのネットワークやシステムをリクエストで押し流すことです。

その他の動機としては、標的を操って高額な身代金を支払わせる、仕事上のライバル関係でサービスを妨害する、ブランドイメージを損なう、インシデント対応チームの注意をそらし、より大規模な攻撃を試みる、などがある。こうした攻撃は年々進化しているため、防御が難しくなっている。しかし、適切な戦略とこれらの攻撃に対する包括的な理解があれば、その影響を軽減することができます。これはさらに、フィッシングやなりすましなどの他の形態のサイバー犯罪につながる可能性がありますが、SPF、DKIM、DMARCを使用すれば軽減することができます。

この記事では、さまざまなタイプのDDoS攻撃と、今日のハイパーコネクテッドワールドでデジタル資産を保護し、中断のない事業運営を維持するための戦略をご紹介します。IP DDoS攻撃の影響は、収益の損失、評判の低下、さらには法的責任など、重大なものになる可能性があります。さらに、このような攻撃の頻度と強度は増加しており、ネットワーク管理者とセキュリティ専門家は、その性質と結果を理解することが極めて重要です。

主なポイント

  1. DDoS攻撃は、SYNフラッド、UDPフラッド、リフレクション攻撃などのテクニックを使って、さまざまなネットワーク・レイヤー(アプリケーション、プロトコル、ボリューメトリック)を悪用し、システムを圧倒する。
  2. 効果的な防御には、攻撃対象領域の縮小(WAF、CDN)、ネットワーク監視、サーバーの冗長化、強固なセキュリティ対策など、多層的なアプローチが必要です。
  3. DDoSの検出には、トラフィックのベースラインを確立し、異常(C&Cサーバーの通信など)を監視し、リアルタイム分析を実施する必要があります。
  4. 訓練を受けたチームと明確なプロトコルを含む包括的なDDoS対応計画は、ダウンタイムと損害を最小限に抑えるために極めて重要です。
  5. DDoS攻撃のコストは、ダウンタイムだけでなく、金銭的、評判的、業務的な損失にも及んでおり、サイバーセキュリティに対する積極的な認識と予防の必要性が浮き彫りになっています。

様々なタイプのDDoS攻撃

すべてのDDoS攻撃の基本的な前提は同じですが、それは被害者のITインフラをトラフィックで詰まらせ、オペレーションを妨害するということです。これらの異なるタイプのDDoS攻撃は、標的とするネットワーク接続レイヤーによって分類されるため、検知や防御の方法が大きく変わります。通常、DDoS攻撃は3つの主要なカテゴリーに分類されます:ボリューメトリック攻撃、プロトコル攻撃、アプリケーション層攻撃です。

  • ボリューメトリック攻撃:ターゲットとより広いインターネット間の利用可能なすべての帯域幅を消費することを目的としています。増幅技術を使ってウェブサイトの帯域幅を減少させます。トラフィックが複数のIPアドレスから来ているように見えるため、これを検出するのは困難です。例としては、UDPフラッドやICMPフラッドなどがあります。
  • プロトコル攻撃:サーバーのリソースや、ファイアウォールやロードバランサーのような中間通信機器のリソースを消費することに焦点を当てたもの。例えば、SYNフラッドやPing of Death攻撃などがあります。
  • アプリケーションレイヤー攻撃:特定のアプリケーションやサービス(SIP、音声サービス、BGPなど)の脆弱性を悪用したり、一見正当なリクエストで圧倒したりすることで、アプリケーションのコンテンツ配信能力を不能にします。HTTPフラッドは一般的な例です。

具体的なDDoS攻撃タイプの一般的な例とその実例には、次のようなものがある:

CLDAP反射攻撃

CLDAP Reflection Attackは、最も一般的で致命的なDDoS攻撃の1つであり、新しいエクスプロイトの影響力は近年70倍にも達している。 ここ数年で70倍.この攻撃は、LDAP(Lightweight Directory Access Protocol)の代替プロトコルであるCLDAP(Connectionless Lightweight Directory Access Protocol)を標的としている。

この攻撃では、攻撃者は被害者の送信者IPアドレスを詐称して、脆弱なLDAPサーバーへのリクエストを開始する。すると脆弱なサーバーは被害者のIPに増幅されたレスポンスで応答し、リフレクション攻撃を引き起こす。これはボリューメトリック攻撃の一種である。

AWSのDDoS攻撃:2020年

2020年、アマゾン・ウェブ・サービス社は、「このままでは、この国は滅亡してしまう。 が明らかにした。は、DDoS攻撃史上最大の打撃となる毎秒2.3テラバイトの分散型DoS攻撃をかわすことに成功したことを明らかにした。AWSの報告によると、この攻撃はCLDAP DDoSリフレクション攻撃に基づいており、大量のリクエストをターゲットに殺到させることで、アプリやウェブサイトの運営を妨害するように組織化されていた。

MemcachedのDDoS攻撃

他のDDoS攻撃の種類と同様に、Memcached DDoS攻撃は、脅威行為者がターゲットのサーバーをインターネット・トラフィックで圧倒する攻撃です。 

この攻撃では、攻撃者はなりすましたIPアドレスを利用し、脆弱なUDP memcachedサーバーを小さなクエリーで悪用し、被害者のIPアドレスに向けられた増幅されたレスポンスを引き出すことで、あたかも被害者自身からのリクエストであるかのように見せかける。これはリフレクションベースのボリューメトリック攻撃のもう一つの例である。

ギットハブのDDoS攻撃:2018年

2018年、世界中の開発者が利用するオンラインコード管理プラットフォームであるGitHubを狙ったDDoS攻撃が発生した。この攻撃は、GitHubのサーバーを熱狂の渦に巻き込んだ。 1.2Tbpsのトラフィックが、毎秒1億2690万件の割合で送信された。.攻撃の発信源は、数万の個々のエンドポイントに広がる1000以上の異なる自律システム(ASN)に突き止められた。

HTTPSによるDDoS攻撃

HTTPフラッド攻撃は、レイヤー7 DDoS攻撃(アプリケーションレイヤー攻撃)としても知られ、一見正当なHTTP GETまたはPOSTリクエストを利用してサーバーやアプリケーションをダウンさせます。攻撃者は大きなパケットを送信する代わりに、HTTP/HTTPS 接続を介して多くのリクエストを送信します。この結果、ターゲットとなるホストはこれらのリクエストを処理してから応答する必要があるため、CPUの使用量やメモリの消費量が多くなり、"サーバーが混み合っています "や "リソースが利用できません "といったエラーメッセージが表示される可能性があります。この種のDDoS攻撃は、単一のエンティティによって制御される侵害されたコンピュータのネットワークであるボットネットに依存しています。攻撃者は標準的なURLリクエストを使用するため、偽造されたトラフィックは有効なトラフィックとほとんど見分けがつきません。 

グーグルの攻撃:2022年

HTTPS DDoS攻撃の顕著な例は、2022年6月にグーグルが受けたものである。 グーグルが2022年6月1日に受けたものだ。攻撃者が複数のアドレスを使って1秒間に4600万件以上のリクエストを発生させ、グーグルのインフラとサービスが中断された。

SYNフラッド攻撃

SYNフラッド攻撃(プロトコル攻撃の一種)は、ネットワークに対する最も一般的な攻撃の1つです。この攻撃では、攻撃者がサーバーにSYNパケット(TCPハンドシェイクの一部)を大量に送信し、多くの場合、送信元IPアドレスを偽装します。サーバーは各SYNリクエストに対してSYN-ACKパケットで応答し、なりすましアドレスから届かない最終ACKパケットを待ちます。このため、多くのハーフオープン接続が残り、正当なリクエストを処理できなくなるまでサーバーのリソースを消費する。

UDPフラッド攻撃

UDPフラッド攻撃(Volumetric Attack)では、攻撃者はターゲット・サーバーのランダムなポートに大量のUDP(User Datagram Protocol)パケットを送信する。サーバーはこれらのパケットを処理しようとし、そのポートでリッスンしているアプリケーションがないかチェックします。サーバーはこれらのパケットを処理しようとし、そのポートでリッスンしているアプリケーションがあるかどうかをチェックします。何も見つからない場合は、ICMPの「Destination Unreachable」パケットで返信します。膨大な量のUDPパケットの受信とICMPの返信は、サーバーのリソースとネットワーク帯域幅を使い果たし、サービスの中断を引き起こす可能性があります。

スマーフアタック

Smurf攻撃(Volumetric/Reflection攻撃の一種)は、なりすましたICMPエコー要求(ping)を使用します。攻撃者は、被害者のIPアドレスをソースIPとして、ネットワークのブロードキャスト・アドレスにPingを送信します。すると、ブロードキャスト・ネットワーク上のすべてのデバイスが、被害者のなりすましアドレスにICMPエコー応答を返します。これにより、ターゲットのコンピュータは毎秒何千ものpingであふれかえり、圧倒される可能性があります。

Ping of Death攻撃

Ping of Death攻撃(プロトコル攻撃)は、IPフラグメンテーションを悪用した古いDDoS攻撃の1つです。攻撃者は、最大許容サイズ(65,535バイト)よりも大きなIPパケットを断片化して送信します。ターゲット・システムがオーバーサイズのパケットを再アセンブルしようとすると、パッチの適用されていない古いシステムでは、バッファ・オーバーフローやシステム・クラッシュを引き起こす可能性があります。現在ではOSの処理が改善されたため、有効性は低下しているが、プロトコルの脆弱性を悪用する原理は依然として有効である。

分散型サービス拒否攻撃からの保護 

さまざまなタイプのDDoS攻撃の深刻さと頻度が、組織とそのセキュリティチームにとって差し迫った問題となるにつれ、これらの悪質な攻撃の影響をかわし、軽減するための戦略的アプローチに従うことが極めて重要になっている。充実したサイバーセキュリティ計画に従うことは、企業のネットワークインフラを強化するだけでなく、ウェブサイトやアプリケーションの完全性を維持することにも役立ちます。 

DDoS攻撃を防ぎ、ユーザーにシームレスなオンライン体験を提供するための方法をいくつかご紹介します:

攻撃面の露出を減らす

回復力のあるデジタル・インフラを確保するための最初のステップの1つは、攻撃者に狙われる脆弱性のポイントを制限することです。重要なドキュメント、アプリケーション、ポート、プロトコル、サーバー、その他の潜在的な侵入口を保護しましょう。そのためには、ウェブ・アプリケーション・ファイアウォール(WAF)やCDNサービスを利用して、脅威者がサーバーやアプリケーションにホストされているデジタル・リソースに直接アクセスできないようにします。CDNはグローバルにコンテンツをキャッシュしてリクエストに対応し、WAFは悪意のあるリクエストをフィルタリングします。また、ロードバランサーを使用してトラフィックを分散し、ウェブサーバーを保護する必要があります。ハッカーが悪用する可能性のある無関係なサービスやオープンポートを排除し、ウェブサイトやアプリケーションを定期的にクリーンアップする。

ネットワークトラフィックの監視と分析

ネットワーク・トラフィックの異常な動きや異常に気づいたら、それを分析し、迅速に対応するためのサインと捉えてください。これを行う効率的な方法は、典型的なネットワーク動作がどのように見えるかのベースラインまたはベンチマークを確立することです(ベースライン・トラフィック解析)。このベースラインから大きく逸脱するものは、潜在的なセキュリティ侵害を示している可能性があります。接続性の低下、パフォーマンスの低下、特定のエンドポイントへの過剰なトラフィック、頻繁なクラッシュ、単一のIPアドレスまたはグループからの異常なトラフィック・パターンなどの赤信号に注意してください。少量、短時間の攻撃も危険です。継続的なトラフィックとパケットのプロファイリングによる早期検知は不可欠です。ボットネットが使用する既知のコマンド・アンド・コントロール(C&C)サーバーとの通信を探します。不審な活動を自動的に検出して対応するルールベースのイベント相関システムを使用して、リアルタイムで対応することが重要です。

強固なネットワーク・セキュリティの確保

攻撃を早期に検知し、その影響を限定するために、ネットワーク・セキュ リティを多層化する。ファイアウォールや侵入検知システム(IDS)を使用してトラフィックをフィルタリングする。アンチウイルスおよびアンチマルウェア・プログラムを使用する。送信元アドレスを検証することで、IPアドレスのなりすましを防止するツールを使用する(イングレス・フィルタリングなど)。すべてのネットワーク・エンドポイント(デスクトップ、ラップトップ、モバイル・デバイス)が悪用されることが多いため、セキュリティが確保されていることを確認する。ネットワーク・セグメンテーションを検討し、システムをサブネットに分割する。ブロードキャスト転送を制限するかオフにし、エコーやチャージャンのような不要なサービスを可能な限り無効にする。

サーバーの冗長性

複数の分散サーバーを使用することで、攻撃者がすべてのサーバーを同時に攻撃することが困難になる。1台のホスティング・デバイスが攻撃を受けても、他のホスティング・デバイスは稼働を続け、標的となったシステムが回復するまでトラフィックの負荷を引き継ぐことができる。ネットワークのボトルネックを避けるため、地理的に多様なデータセンターやコロケーション施設にサーバーをホスティングする。コンテンツ・デリバリー・ネットワーク(CDN)は、多数のサーバーにコンテンツを分散させることで、本質的に冗長性を提供します。

クラウドベースのソリューションへの切り替えとプロバイダーの能力の活用

クラウドベースのソリューションは、リソースのシームレスなスケーラビリティを確保するだけでなく、従来のオンプレミスのセットアップよりも安全で信頼性が高い場合が多い。クラウド・プロバイダーは通常、個々の組織よりもはるかに多くの帯域幅を持ち、ボリュメトリック攻撃が成功しにくくなっている。また、クラウド・インフラストラクチャの分散型という性質も、本質的に影響を受けにくくしている。さらに、インターネット・サービス・プロバイダー(ISP)とクラウド・プロバイダーが重要な役割を果たします。ISPは、上流で悪意のあるトラフィックをブロックし、疑わしい活動を監視し、攻撃中にオンデマンドで帯域幅を提供し、攻撃トラフィックを分散させることができます。多くのクラウド・プロバイダーは、特化したDDoS防御サービスを提供し、その規模と専門知識を活用して、攻撃を効果的に検出し、軽減します。

対応計画を立てる

どのような組織であれ、万が一攻撃があった場合に効果的にインシデントを処理し、被害を最小限に抑え、事業の継続性を確保するためには、綿密な対応計画が不可欠である。インフラが複雑であればあるほど、より詳細な計画が必要になります。DDoS対応計画には、以下を含める必要があります:

  • システムチェックリスト
  • よく訓練された対応チーム
  • 検出および警告の手段/プロトコル
  • 包括的な緩和策(防御策の発動方法、プロバイダーへの連絡方法など)
  • 社内外の利害関係者に対するコミュニケーション計画(誰に知らせる必要があるかのリストを含む)
  • 攻撃中に業務を維持するための手順
  • 基幹システムのリスト

脆弱性評価の実施

脆弱性評価により、組織は攻撃者に悪用される前に、ネットワーク、システム、およびアプリケーションの抜け穴を体系的にレビューし、調査することができます。これには、ネットワークや無線の評価、ポリシーの見直し、ウェブ・アプリケーションやソースコードに欠陥がないかのチェック(多くの場合、自動スキャンツールを使用)などが含まれる。リスクを評価し、包括的なレポートを作成し、継続的に評価に取り組むことは、強固なサイバーセキュリティ戦略に貢献し、事業の継続を保証します。このアプローチは、組織がDDoS攻撃とその種類の危険性を軽減するのに役立ちます。

優れたサイバー衛生習慣を身につけ、実践する

あなたのチームは、システムが侵害され、ボットネットに使用される可能性を防ぐために、優れたサイバー衛生習慣を実践するよう訓練されなければなりません。これには以下が含まれます:

  • 強固でユニークなパスワード(数字、記号、大文字・小文字を含む12文字以上)を設定し、定期的に変更する。
  • パスワードの共有や再利用を避ける。
  • 可能な限り二要素認証(2FA)を使用し、セキュリティのレイヤーを増やす。
  • ノートパソコン、タブレット、スマートフォン、外付けドライブ、クラウドストレージにデバイスの暗号化を採用する。
  • ソフトウェアやシステムを最新のセキュリティパッチで更新しておく。

DDoS攻撃のコスト

DDoS攻撃は、より長く、より巧妙に、より大規模になっており、企業のコストを大幅に増加させています。Ponemon Instituteの調査によると、DDoS攻撃によるダウンタイム1分あたりの平均コストは相当なもので、22,000ドルに達する可能性があります。正確なコストは、業種、事業規模、攻撃期間、ブランドの評判などの要因によって異なります。しかし、真のコストは、直接的な金銭的損失をはるかに超え、以下のようなものに及びます:

  • 直接コスト:帯域幅の消費、ハードウェアの損傷または交換、ミティゲーションサービス料金。
  • 法的コスト:機密データが漏洩したり、サービス・レベル・アグリーメントに違反した場合、訴訟や規制当局から罰金を科される可能性がある。
  • 知的財産の損失:攻撃がデータ窃盗の隠れ蓑となる場合。
  • 生産および運営上の損失:売上損失、生産性低下、サービス停止による顧客離れ。
  • 評判の低下:顧客、パートナー、投資家からの信頼を失い、その影響は長期に及ぶ可能性がある。
  • 復旧技術による損失:スクラビングセンター、特殊なハードウェア、インシデントレスポンスの導入と維持にかかる費用。

ひとことで言うと 

分散型サービス拒否(DDoS)攻撃の影響が、これまでよりもはるかにコストと破壊力を増していることを知った今、事態の緊急性を認識し、ブランド・アイデンティティを保護し、シームレスな事業運営を維持するための積極的な対策を講じることが不可欠です。IP DDoS攻撃の将来は依然として不透明ですが、今後も大きな脅威であり続けるでしょう。技術の進歩に伴い、攻撃者はより洗練されたツールにアクセスできるようになり、防御はますます困難になるでしょう。そのため、組織はサイバーセキュリティへのアプローチを積極的に行う必要があります。包括的な脆弱性評価ツール、プロアクティブなインシデント対応プロトコル、ネットワーク監視ツール、サーバーの冗長化、堅牢なネットワーク・セキュリティ、クラウド・ソリューションを導入し、従業員のサイバーセキュリティに対する意識を高めることで、組織は、さまざまなタイプのDDoS攻撃という形で現れる、これまでにないトラフィックの急増に対抗することができます。

お客様の資産を違法なハッキングから守り、電子メールベースのサイバー攻撃から全面的に保護するためには、PowerDMARCの専門家にお任せください。深い知識と豊富な経験により、お客様のデジタル資産の安全性を確保し、敵に直面しても業務が円滑に進むようにします。サイバーセキュリティソリューションの詳細については ご連絡くださいご連絡ください!

最新記事 by Ahona Rudra(全て見る)
エグゼクティブ・フィッシング攻撃 - 実践的洞察と予防策...エグゼクティブ・フィッシング-CEOからのメールは偽物か?フィッシング詐欺から身を守るフィッシングから身を守るアングラーフィッシングからの防御