分散型サービス拒否 (DDoS) 攻撃は、複数のコンピューターを使用して、悪意のあるプログラムを介して1つまたは複数のターゲットに対して協調攻撃を開始します。 この攻撃により、パフォーマンスが低下するか、ネットワーク帯域幅が消費され、ターゲットサーバーが応答しなくなります。

攻撃原理

通常、攻撃者は、権限のないアカウントを使用してDDoSマスタープログラムを1台のコンピューターにインストールし、エージェントプログラムを複数のコンピューターにインストールします。 DDoSマスタプログラムは、指定された期間中に多数のエージェントプログラムと通信する。 エージェントがコマンドを受信すると、攻撃を開始します。 マスタープログラムは、数百または数千のエージェントプログラムを数秒以内に開始できます。

DDoS攻撃のリスク

この攻撃は、ビジネスに次のリスクをもたらす可能性があります。

  • 重大な経済的損失

    DDoS攻撃が発生すると、オリジンサーバーがサービスを提供できなくなり、ユーザーがサービスにアクセスできなくなり、大きな経済的損失と評判の損害が発生する可能性があります。

    たとえば、eコマースプラットフォームがDDoS攻撃を受けた場合、Webサイトにアクセスできないか、一時的に閉鎖される可能性があります。 したがって、正当なユーザーは商品を購入できません。

  • データ漏えい

    攻撃者は、ビジネスのコアデータにアクセスできる場合があります。

  • 不公平な競争

    競合他社は、競争上の優位性を得るためにサービスに対してDDoS攻撃を開始する可能性があります。

    たとえば、ゲームがDDoS攻撃を受けている場合、プレイヤーの数が減り、ゲームは数日間オフラインになる可能性があります。

一般的なDDoS攻撃タイプ

データ型 典型的な攻撃 説明
不正なパケット攻撃 フラグメントフラッド、スマーフ、ストリームフラッド、ランドフラッド、不正なIPパケット、不正なTCPパケット、不正なUDPパケット A malformed packet attack occurs when malformed IP packets are sent to a target system. これにより、システムが応答を停止する可能性があります。
トランスポート層DDoS攻撃 SYNフラッド、Ackフラッド、UDPフラッド、ICMPフラッド、RSTフラッド SYNフラッドは、TCPスリーウェイハンドシェイクの脆弱性を悪用するプロトコル攻撃です。 通常のハンドシェークプロセスでは、サーバーがSYN要求を受信すると、サーバーは接続をSYNキューに保存します。 攻撃者がSYNリクエストをサーバーに継続的に送信しても、予想されるACKメッセージで応答しない場合、サーバーリソースが消費されます。 SYNキューがいっぱいになると、サーバーはユーザーからのリクエストへの応答を停止します。
DNS DDoS攻撃 DNSリクエストのフラッド、DNSレスポンスのフラッド、DNSクエリフラッド (スプーフィングされたリクエストと実際のリクエスト) 、権威あるサーバー攻撃、ローカルサーバー攻撃 DNSクエリフラッドは実際のクエリ要求を実行します。これは通常のサービス操作です。 複数のゾンビが同時に多数のドメイン名クエリ要求を開始した場合、サーバーはそれらに応答できません。 これにより、サービス拒否が発生する可能性があります。
接続ベースのDDoS攻撃 低速攻撃、接続枯渇攻撃、低軌道イオン大砲 (LOIC) 、高軌道イオン大砲 (HOIC) 、Slowloris、PyLoris、およびXOIC Slowloris攻撃は、ターゲットサーバーの同時接続リソースを使い果たす可能性があります。 同時接続の数が上限に達すると、サーバーは追加の接続試行を拒否します。 たとえば、サーバーが新しいHTTPリクエストを受信した場合、サーバーはリクエストを処理し、応答を返し、接続を閉じます。 接続が開いたままの場合、サーバーは別のHTTPリクエストを受信したときに新しい接続を確立する必要があります。 すべての接続が開いたままの場合、サーバーは新しい要求への応答を停止します。

Slowloris攻撃はHTTPの機能を悪用します。 HTTPリクエストは \r\n \r\nで始まり、ヘッダーフィールドの終わりを示します。 サーバーが \r\nのみを受信した場合、接続は開いたままで、要求の後続の内容を待ちます。

アプリケーション層への攻撃 HTTP GETフラッド、HTTP POSTフラッド、およびHTTPフラッド攻撃 アプリケーション層攻撃は、ユーザー要求をシミュレートできます。 検索エンジンやクローラーのように、攻撃と通常の要求を区別することはほとんどできません。

webサービスで大量のリソースを消費するトランザクションやページは、ページングやシャーディングなどの同時実行性の高いシナリオでのHTTPフラッド攻撃に対して脆弱です。 ページサイズが大きすぎると、頻繁なページングは大量のリソースを消費します。

攻撃は、ハイブリッド攻撃である。 頻繁に実行され、実際のユーザー操作の機能を持つ操作は、HTTPフラッド攻撃として識別されます。 例えば、ウェブサイトが発券ソフトウェアによってアクセスされる場合、そのアクセスは、HTTPフラッド攻撃として識別され得る。

HTTPフラッド攻撃は、webアプリケーションのバックエンドサービスを対象としています。 HTTPフラッド攻撃は、サービス拒否を引き起こすだけでなく、応答時間、データベースサービス、ディスクの読み取りおよび書き込み操作など、webアプリケーションの機能とパフォーマンスに直接影響します。

DDoS攻撃を特定するにはどうすればよいですか?

DDoS攻撃は次の場合に識別されます。

  • サーバーが突然切断され、アクセス速度が遅くなり、ユーザーはオフラインになりますが、ネットワークとデバイスは正常に動作しています。
  • サーバーのCPUまたはメモリ使用量が大幅に増加します。
  • アウトバウンドトラフィックまたはインバウンドトラフィックが大幅に増加します。
  • ビジネスWebサイトまたはアプリケーションは、突然多数の未承諾のリクエストを受け取ります。
  • サーバーへのログインが失敗するか、遅すぎます。