Edge Security Acceleration:DDoS

DDoS 攻撃とは

DDoS 攻撃とは、アプリケーションとサービスの可用性を妨害しようとする悪意のある試みです。 データの盗難を目的とする攻撃とは異なり、DDoS 攻撃の主な目的は、大量のインターネット トラフィックでサービスを過負荷状態にし、正当なユーザーにとってサービスの速度を低下させたり、完全にアクセス不能にしたりすることです。

DDoS 攻撃の仕組み

DDoS 攻撃は通常、3 つのフェーズで実行されます。

1. ボットネットの構築: 攻撃者は、コンピューター、サーバー、IoT (モノのインターネット) デバイスなど、インターネットに接続された多数のデバイスにマルウェアを感染させます。 これにより、侵害されたマシンのネットワーク (ボットネットと呼ばれます) が作成され、攻撃者はこれをリモートで制御できます。

2. コマンドの発行: 攻撃者は、コマンド アンド コントロール (C&C) サーバーを使用してボットネットに命令を送信し、すべてのデバイスに Web サイトの IP アドレスなどの特定の被害者を標的にするように指示します。

3. 攻撃の開始: ボットネット全体がターゲットに大量のリクエストまたはパケットを同時に送信します。 トラフィックは数千の分散ソースから発生するため、悪意のあるトラフィックと正当なリクエストを区別し、ソースで攻撃をブロックすることが困難になります。

一般的な DDoS 攻撃の種類

DDoS 攻撃は一般的に、標的とする OSI (Open Systems Interconnection) モデルの層によって分類されます。

• ネットワーク層/トランスポート層 (L3/L4) 攻撃

  • 仕組み: TCP または UDP などのプロトコルを使用して大量のパケットを送信します。 これにより、「トラフィック ジャム」が発生し、正当なユーザー トラフィックがサーバーに到達できなくなります。

  • 一般的な例: SYN フラッド、UDP フラッド、ACK フラッド。

  • 特徴: これらの攻撃は、ネットワーク容量を圧倒するように設計された単純なブルートフォース攻撃です。

• アプリケーション層 (L7) 攻撃

  • 仕組み: これらの攻撃は、HTTP GET または POST リクエストを送信して CPU、メモリ、データベース接続などのアプリケーション固有のリソースを使い果たすことで、正当なユーザーの動作を模倣します。

  • 一般的な例: HTTP フラッド (CC (Challenge Collapsar) 攻撃とも呼ばれます)。

  • 特徴: これらの攻撃は、必ずしも大量ではないものの、複雑です。 リクエストは大量のサーバー リソースを消費し、正当なトラフィックとの類似性により、実際のユーザーに影響を与えずに軽減することが困難になります。

DDoS 攻撃を特定する方法

次の症状が見られる場合は、DDoS 攻撃を受けている可能性があります。

• サービスの利用不可: Web サイトまたはアプリケーションの速度が非常に遅くなるか、完全にアクセスできなくなります。

• ネットワークの飽和: ネットワーク トラフィックに異常で突然の急増が見られ、通常の使用パターンをはるかに超えています。 ESA コンソールの サイトの概要 ページにある データ概要 で、これらのアクティビティを表示します。

• サーバーの過負荷: サーバーの CPU またはメモリの使用率が常に 100% 近くまたは 100% になっています。

• 異常なログ エントリ: ログに、広範囲にランダムに分散された IP アドレスから発信された大量のリクエストが示されています。 ESA の セキュリティ保護 にある セキュリティ分析 を使用して調査します。

ESA の DDoS 対策機能