攻撃と脅威
分散型サービス妨害攻撃 (DDoS)
別称: DDoS
定義
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
DDoS 攻撃では、侵害された大量のホスト群(ボットネット)、オープンな反射ホスト、あるいは有料の DDoS 代行サービスを利用して、多数の送信元から同時に標的へトラフィックや要求を送り付けます。送信元が多岐にわたるため、フィルタリングが難しく、容量があっという間に枯渇します。攻撃は階層別に分かれ、回線を埋め尽くす体積型(増幅を伴うことが多い)、ファイアウォールやロードバランサーなど状態を持つ機器を疲弊させるプロトコル型、コストの高いエンドポイントを正規風の要求で叩くアプリケーション層型などがあります。動機としては、恐喝、ハクティビズム、競合妨害、別の侵入活動の隠れ蓑などがあります。対策としては、大容量のスクラビング網、Anycast、クラウド・オンプレ DDoS 防御、振る舞いに基づくレートリミット、そして十分に演習されたインシデント対応手順が必要です。
例
- Mirai 系ボットネットが 1.5 Tbps の UDP トラフィックで DNS 事業者を直撃し、依存するサイトを軒並みオフラインにする。
- 数千クライアントからの HTTP/2 「Rapid Reset」フラッドにより、ロードバランサーの CPU が枯渇する。
関連用語
サービス妨害攻撃 (DoS)
システムの帯域・処理能力・メモリ・アプリケーション資源を枯渇させ、正当な利用者がサービスを利用できなくする攻撃。
DDoS 増幅攻撃
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
DNS 増幅攻撃
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
NTP 増幅攻撃
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
SYN フラッド
TCP の 3 ウェイハンドシェイクを完了させずに大量の SYN パケットを送り付け、標的の接続状態リソースを枯渇させる DoS 攻撃。
ボットネット
マルウェアに感染したインターネット接続機器を攻撃者が遠隔操作し、協調動作を行わせるネットワーク。