分散型サービス妨害 (DDoS) 攻撃とは、複数のコンピューターを利用して、1 つ以上のターゲットに対して協調的な攻撃を行うことです。これらのコンピューターは、悪意のあるプログラムとリモート接続を使用して、ターゲットサーバーのリソースやネットワーク帯域幅を消費し、サーバーがサービスを提供できないようにします。
DDoS 攻撃の仕組み
DDoS 攻撃は、ボットネットを使用した協調的な攻撃です。
攻撃者は、インターネット上の多くのデバイスを不正に制御することで、大規模なボットネットを構築します。
攻撃中、攻撃者はコントロールサーバーからコマンドを発行します。これらのコマンドは、ボットネット内のすべてのゾンビホストに対し、Web サイトやサーバーなどの特定のターゲットに、大量のリクエストやトラフィックを同時に送信するよう指示します。
この突然のトラフィックの急増により、ターゲットサーバーのシステムリソースやネットワーク帯域幅が急速に消費され、サービスの速度低下や完全なクラッシュが発生します。その結果、サーバーは正規ユーザーからのリクエストを処理できなくなり、DoS 攻撃の目的が達成されます。
DDoS 攻撃のリスク
重大な金銭的損害とブランド毀損:攻撃によりサービスが中断され、ユーザーがサービスにアクセスできなくなる可能性があります。これにより、注文の損失や顧客離れによる直接的な金銭的損失が発生し、ブランドの評判が著しく損なわれます。
説明例:e コマースプラットフォームが DDoS 攻撃の標的となり、Web サイトにアクセスできなくなったり、一時的にシャットダウンしたりします。その結果、正規のユーザーは注文できなくなります。
データ漏洩のリスク:DDoS 攻撃は、戦術的な隠れ蓑として機能することがあります。ネットワークの混乱を引き起こしている間に、攻撃者はその機会を利用してシステムに侵入し、機密データやコアデータを盗み出す可能性があります。
悪意のあるビジネス競争:DDoS 攻撃は、不公正な競争戦術として使用されます。攻撃者は競合他社のサービスを麻痺させてビジネスを妨害し、市場シェアを獲得し、業界のエコシステムに損害を与えます。
説明例:ゲームサービスが DDoS 攻撃の標的となり、プレーヤー数が急激に減少します。この攻撃により、数日以内にゲームサービスが完全にオフラインになる可能性があります。
サービスが DDoS 攻撃を受けているかどうかの判断方法
ご利用のサービスが DDoS 攻撃を受けているかどうかを判断するには、次の兆候に注意してください。
アセットが攻撃を受けているかどうかを判断するには、Traffic Security コンソールの 資産 ページでアセットのステータスを確認します。詳細については、「アセットセンター」をご参照ください。
サービス品質の低下:サービスの遅延、応答の遅さ、または多くのユーザーの切断が発生します。
サーバーリソースの異常:CPU またはメモリの使用率が急上昇します。
ネットワークトラフィックの急増:アウトバウンドまたはインバウンドのトラフィックが予期せず急増します。
大量の不明なアクセス:ご利用の Web サイトまたはアプリケーションに、不明なソースからのリクエストが殺到します。
リモート管理の困難:サーバーにログインできない、またはサーバーの応答が非常に遅くなります。
Alibaba Cloud が提供する DDoS 対策
適切な Anti-DDoS プロダクトの選択方法の詳細については、「選択ガイド」をご参照ください。
Anti-DDoS Origin Basic (無料)
ご利用の Elastic Compute Service (ECS)、Server Load Balancer (SLB)、EIP (NAT Gateway にアタッチされた EIP を含む)、、Global Accelerator、Web Application Firewall (WAF) などの Alibaba Cloud プロダクトに対して、500 Mbps から 5 Gbps の DDoS 防御能力を提供します。詳細については、各クラウドプロダクトのドキュメントをご参照ください。
Anti-DDoS Origin
Anti-DDoS Origin は、Alibaba Cloud 上にデプロイされたリソースに対する透明な保護サービスです。詳細については、「Anti-DDoS Origin とは」をご参照ください。
Anti-DDoS Proxy
Anti-DDoS Proxy は、プロキシモードを使用してポートとドメイン名を保護します。Alibaba Cloud 上にないホストも保護できます。詳細については、「Anti-DDoS Proxy とは」をご参照ください。
DDoS 攻撃の一般的な種類
DDoS 攻撃の分類 | 攻撃のサブクラス | 説明 |
不正な形式のパケット | 不正な形式のパケット攻撃には、Frag Flood、Smurf、Stream Flood、Land Flood、および不正な形式の IP、TCP、または UDP パケットを使用する攻撃が含まれます。 | 不正な形式のパケット攻撃は、欠陥のある IP パケットをターゲットシステムに送信します。システムがこれらのパケットを処理しようとするとクラッシュする可能性があり、DoS 攻撃につながります。 |
トランスポートレイヤー DDoS 攻撃 | トランスポートレイヤー DDoS 攻撃には、SYN Flood、ACK Flood、UDP Flood、ICMP Flood、および RST Flood 攻撃が含まれます。 | SYN Flood 攻撃を例に取ります。この攻撃は、TCP の 3 ウェイハンドシェイクを悪用します。サーバーが SYN リクエストを受信すると、リスナーキューを使用して一定期間接続を保持する必要があります。攻撃者は SYN リクエストを継続的に送信しますが、サーバーからの SYN+ACK パケットには応答しません。これにより、リスナーキューが満杯になるまでサーバーのリソースが消費されます。その時点で、サーバーは正規ユーザーからのリクエストを受け入れられなくなり、DoS 攻撃が成立します。 |
DNS DDoS 攻撃 | DNS DDoS 攻撃には、DNS Request Flood、DNS Response Flood、なりすましおよび実際のソースからの DNS Query Flood、権威サーバー攻撃、およびローカルサーバー攻撃が含まれます。 | DNS Query Flood 攻撃を例に取ります。この攻撃は、通常のサービス動作のように見える実際のクエリリクエストを使用します。しかし、複数のゾンビマシンが同時に大量のドメイン名クエリを送信すると、サーバーは正規のクエリに応答できなくなります。これにより、DoS 攻撃が発生します。 |
接続ベースの DDoS 攻撃 | 接続ベースの DDoS 攻撃には、TCP slow connection attacks、connection exhaustion attacks、Loic、Hoic、Slowloris、Pyloris、Xoic などの低速攻撃が含まれます。 | Slowloris 攻撃を例に取ります。この攻撃の目的は、Web サーバーの同時接続数の上限を使い果たすことです。Web サーバーは限られた数の同時接続しか処理できません。Slowloris 攻撃は、できるだけ多くの接続をできるだけ長く開いたままにしようとします。利用可能なすべての接続が使用中になると、Web サーバーは正規ユーザーからの新しいリクエストを受け入れることができなくなります。 Slowloris 攻撃は、HTTP プロトコルの特徴を悪用します。HTTP リクエストでは、ヘッダーの終わりを示すために |
アプリケーションレイヤー DDoS 攻撃 | アプリケーションレイヤー攻撃には、HTTP GET Flood、HTTP POST Flood、および CC 攻撃が含まれます。 | アプリケーションレイヤー攻撃は、検索エンジンや Web クローラーと同様に、ユーザーリクエストを忠実にシミュレートすることがよくあります。これらの攻撃の動作は、通常の業務トラフィックと区別することが困難であるため、特定が困難です。 Web サービスの一部のトランザクションやページは、大量のリソースを消費します。たとえば、ページングやテーブルシャーディングを使用する Web アプリケーションで、ページを制御するパラメーターが大きすぎると、頻繁なページめくりによって大量の Web サービスリソースが消費されます。呼び出しが頻繁に行われる高同時実行シナリオでは、このようなトランザクションが CC 攻撃の一般的なターゲットになります。 今日のほとんどの攻撃はハイブリッド型であるため、ユーザーの行動をシミュレートする頻繁な操作は CC 攻撃と見なされる可能性があります。たとえば、Web サイトに繰り返しアクセスするチケット購入ボットは、CC 攻撃と見なすことができます。 CC 攻撃は、Web アプリケーションのバックエンドサービスを標的とします。DoS を引き起こすだけでなく、Web 応答時間、データベースサービス、ディスクの読み書き操作など、Web アプリケーションの機能とパフォーマンスに直接影響を与えます。 |