How to DDoS: The Inner Workings of Distributed Denial of Service Attacks
DDoS 攻撃は年々大規模化し、コストも増大しているため、組織はダウンタイムと費用が甚大になるリスクにさらされています。予防が不可欠であるため、高度なセキュリティ ツールの実装はセキュリティ チームにとって優先事項でなければなりません。以下では、DDoS 攻撃とは何か、最も一般的な攻撃の種類、一般的な攻撃方法について詳しく説明します。
DDoS攻撃とは?
分散型サービス妨害攻撃 (DDoS) 攻撃は、標的となる Web サイト、アプリケーション、またはサーバーでダウンタイムやトラフィック妨害を引き起こす、組織的な大量のトラフィックの流入です。 これらは通常、侵害されたデバイスのネットワークである大規模なボットネットから発生します。
- ザ ボットネット対策ターゲットに大量のリクエストを送信する
- これにより、リソースまたは帯域幅が消費され、正当なトラフィックが通常のサービスにアクセスできなくなります。
多くの場合、DDoS 攻撃は金銭的な理由から開始されます。
攻撃者は、攻撃を中止するのと引き換えに被害者から金銭を強要しようとする場合があり、また、企業の競合他社は、その企業の Web サイトの閉鎖を望む場合があります。
最も一般的な3種類のDDoS攻撃
DDoS 攻撃にはいくつかの主要な種類があり、それぞれ動作が異なります。
- ボリューム型攻撃: 大量のトラフィックでターゲットを圧倒します。最終的には、トラフィックのボトルネックが発生したり、帯域幅の消費量が多いためにサーバーに障害が発生したりして、停止してしまいます。これにより、ユーザーエクスペリエンスが低下し、ダウンタイムが長くなります。
- アプリケーション層攻撃: アプリケーション層 DDoS 攻撃は、通常のトラフィックのように動作するボットを使用して検出を回避します。 攻撃の規模は小さくなる傾向があり、ボットは帯域幅よりもリソースを占有することに重点を置いています。
- ネットワーク層攻撃: このタイプの攻撃は、ターゲットへの多数のオープン接続を作成することに重点を置いています。サーバーまたはアプリケーションはリクエストを完了できず、接続を閉じることができないため、リソースは攻撃者の接続で拘束されます。これにより、正当なユーザーのデバイスとの新しい接続が防止されます。SYN フラッドはこのように動作します。
攻撃者がどのような方法を選択しても、最終的な結果は Web サイトまたはアプリケーションが機能しなくなることです。
顧客が情報やサービスにアクセスできない場合、他の企業に取引先を移す可能性が高く、企業の収益と評判に大きな影響を与える可能性があります。
DDoS攻撃ツールと手法
DDoS 攻撃を実行するための一般的なツールと方法がいくつかあります。これらには次のものが含まれます。
- 侵害された IoT デバイス:多くの DDoS 攻撃は、増え続けるIoT デバイスを悪用しますが、その多くはセキュリティが不十分です。 これらのデバイスがボットネットに組み込まれると、大規模で大量の攻撃の一部となります。
- 適応型トラフィック パターン:ボットが高度化するにつれて、一般的なトラフィック パターンをより巧みに模倣できるようになります。最新のボットは、適応性を高めるために AI を搭載して構築されています。これにより、ファイアウォールや DDoS 攻撃検出ツールをすり抜けることができます。
- ビジネス ロジックの悪用:過去の DDoS 攻撃は、ターゲットを圧倒する大量のトラフィックに重点が置かれていました。しかし、セキュリティが強化されるにつれて、攻撃者は巧妙な攻撃スタイルに目を向けるようになりました。DDoS 攻撃では、ビジネス ロジックを悪用することで、多数のボットを必要とせずにアプリケーションの実行を妨害するリクエストを送信できます。
- 低速攻撃: この手法では、多数のボットではなく、非常に低速な接続を利用してターゲットの帯域幅を占有します。低速ツールは、攻撃者がこの種の攻撃を仕掛けるのに役立ちますが、ほとんどのセキュリティ ツールではアラートがトリガーされないため、軽減するのは非常に困難です。
- スプーフィング:検出をさらに困難にするために、攻撃者は IP スプーフィングを使用してボットの IP アドレスを偽装します。目標は、トラフィックが信頼できるソースまたはさまざまなソースから来ているように見せることです。成功すると、DDoS 対策ツールにはトラフィックが正当なものであるように見えます。
組織が攻撃のリスクを最小限に抑えたい場合は、DDoS 攻撃を成功させるために必要な手順を考慮した最新のセキュリティ ソリューションを実装する必要があります。
DDoS攻撃の方法:攻撃者が行う3つのステップ
ほとんどの DDoS 攻撃は次の手順に従います。
- ボットネットの構築: DDoS 攻撃の種類に関係なく、ほとんどの攻撃者はボットネットを使用します。ボットネットを形成するために、攻撃者は脆弱なデバイスに侵入し、そのデバイスの制御を可能にするマルウェアを植え付けます。 IoT デバイスはセキュリティが脆弱なことが多いため、一般的なターゲットとなります。
- リクエストの送信: 攻撃者が大規模なボット ネットワークを構築すると、ボットにターゲットへのリクエストを送信するように指示します。一部のボットネットは数百万のボットで構成されていますが、この戦略は DDoS 保護ツールの注目を集めることが多いため、攻撃者の中にはより小規模で安価なボットネットを好む人もいます。大規模なボットネットは大量のリクエストを送信し、小規模なボットネットはターゲットへの接続速度が遅い、またはリソースを大量に消費するリクエストに依存することがよくあります。
- リクエストの持続: DDoS 攻撃を最大限に活用するには、多数のリクエストと圧倒的なトラフィックを長時間継続させる必要があります。十分なリクエストが受信され、接続が開かれると、ターゲットの Web サイトまたはアプリケーションのトラフィックが遅くなり、正当なユーザーに対してダウンタイムやアクセスの問題が発生するようになります。
また、一部の DDoS 攻撃者はターゲットを攻撃するために DDoS サービスに料金を支払います。
高度な攻撃の多くは専門知識を持つ人々から行われますが、攻撃はこれらのサービスにアクセスできる人なら誰でも行われる可能性があります。その結果、不満を持つ従業員、不満を持つ顧客、または組織に対して不満を持つその他の人物から攻撃が発生することがあります。
攻撃者が DDoS 攻撃を構築したか、ボットネットの使用料を支払っているかにかかわらず、組織は最新の DDoS の動向を常に把握しておく必要があります。
DDoS攻撃対策ソリューション
DDoS 攻撃の種類ごとに、異なる防止および軽減ツールが必要になります。
ネットワーク層保護
ネットワーク層保護ソリューションは、レート制限プロトコル、スクラビング センター、トラフィック フィルタリング ソリューションを使用して、レイヤー 3 アクセス ポイントと脆弱性を保護します。
これらのツールは、攻撃の成功を防ぐために帯域幅の使用を制限します。
アプリケーション層保護
アプリケーション層保護は、レイヤー7への攻撃を防ぎます。これに最適なツールは以下のとおりです。
ファイアウォール、特に AI を活用した検出機能を備えたファイアウォールは、ボットがネットワークに到達するのを防ぎ、レート制限は 1 つのソースが実行できるリクエストの数を制限します。
クラウドベースのDDoS防御
クラウドベースの DDoS 保護サービスは、ボリューム型攻撃に対して重要です。
大量のトラフィックが流入した場合、流入によってターゲットが圧倒されないようにトラフィックをリダイレクトできると便利です。クラウド スクラビング センターは、不要なボット トラフィックをフィルタリングすることでも役立ちます。
Mitigate DDoS Attacks with Check Point DDoS Protector
Ultimately, the best prevention for a DDoS attack is a comprehensive solution that addresses all three types of attacks. Check Point’s Check Point DDoS protection solution prevents each type, with an extensive suite of tools and protection strategies.
Although some DDoS attacks may slip past prevention solutions, Check Point offers protection through mitigation tools as well. This ensures that downtime is limited even in the event of a successful attack, which prevents substantial revenue losses and reputation damage. To learn more about Check Point, request a demo today.
