今回のご紹介するレポートは、Radware社が提供するLearn about DDoS Attacksにアップされている
[ What Is A DDoS Attack?~DDoS 攻撃とは?~ ] のレポートを紹介します
◆DDoS Meaning: What Is A DDoS Attack?
~DDoSの意味:DDoS攻撃とは?~
分散型サービス妨害 (DDoS) 攻撃は、複数のマシンが連動(遠隔で操作)し 1 つのターゲットを攻撃、ターゲット周辺のインフラを麻痺(インターネットトラフィックの洪水で制圧)させ、ターゲットが提供しているサービスへの正常通信を妨害するものである。
DDoS 攻撃は、指数関数的に多くのリクエストをターゲットに送信(攻撃)できるため、大きな攻撃力を生み出すことが可能となり、また真の攻撃元を特定することが難しく、攻撃者の特定が困難となります。
DDoS 攻撃はオンライン ビジネスなどに壊滅的な打撃を与える可能性があるため、攻撃のしくみと迅速な対策(軽減策)方法を理解することが重要です。
DDoS 攻撃を実行する動機はさまざまであり、また実行犯である個人や組織のタイプも様々となります。実行犯の動機には、不満を持った個人やハクティビストなど愉快犯的なもの、あるいは不満を表明するために企業を攻撃するといった様々な動機があります。
また、競合他社が他社ビジネスを妨害または停止させ、その間に利益(ビジネス)を奪うなど、金銭的な動機で行われることもあります。またターゲット企業のサーバーに攻撃を仕掛け、その隙にランサムウェアをインストールし、被害を回復させるために多額の金銭を支払わせるといった恐喝行為などもあります。
◆How Does a DDoS Attack Work? ~DDoS 攻撃の仕組み~
DDoS攻撃は、正規ユーザーのサービスアクセスを邪魔したり、サービス提供不可を目的としています。
単純なDoS攻撃攻撃では、1 台の「攻撃用」コンピューターと 1 台の対象サーバーといった図式となりますが、DDoS攻撃は、感染させたコンピューターや「ボット」コンピューターを使い、まるで軍隊のように同時多発的に攻撃を仕掛けてきます。
大規模な攻撃が実行可能なこれらのボットネット (感染もしくは乗っ取られたデバイス) は、セキュリティの脆弱性やデバイスの弱点を利用して、C&C(コマンド アンド コントロール ソフトウェア)を利用され乗っ取られます。
攻撃者は、この協力な軍隊(ボットネット)を用いて、自身でDDoS攻撃を仕掛けることもしますが、この協力な軍隊(感染したデバイスで構成されるボットネット)は、他の攻撃者に貸与されていることも事実となります。
このようなボットネットは「attack-for-hire(雇われ攻撃)」サービスとして広くサービスとして利用提供され、スキルのない誰(ユーザー)でも簡単に協力な軍隊でDDoS攻撃が行うことが可能となっております。
サイバー犯罪者は多くの場合、ネットワーク デバイスとサーバー間で発生する通常の動作を巧みに利用し、インターネットへの接続を確立するネットワーク デバイスを標的にしてDDoS 攻撃を行います。それは個々のサーバーではなく、エッジ ネットワーク デバイス (ルーター、スイッチなど) をターゲットとして狙い、DDoS攻撃で、ネットワークのパイプ (帯域幅) またはその帯域幅を制圧(攻撃)します。
◆How To Identify A DDoS Attack? ~DDoS 攻撃を特定する方法~
DDoS 攻撃を検出して識別する方法として、ネットワークのトラフィック監視と分析が有効な手段のひとつなります。ネットワークトラフィックは、ファイアウォールまたは侵入検知システム(IDS)を介して監視することが可能です。そのシステムを用いて異常なトラフィック負荷の検出や、トラフィックのソース特定、特定の基準を満たす(悪意のある)ネットワークパケットをドロップするルールを設けることで、管理者は攻撃を検出・防御することが可能となります。
DoS 攻撃の特徴として、特定のネットワークやシステム管理者が保守を行っている際の技術的な問題など、悪意のない通常の問題に似ている場合があります。しかし、以下のような症状は、DoS攻撃やDDoS攻撃である可能性があります。
- 異常に遅いネットワーク パフォーマンス
- 特定のネットワーク サービスや Web サイトが利用できない
- Web サイトにアクセスできない
- あるIPアドレスが、限られた時間内に異常に多くのリクエストを行う
- サービスの停止により、サーバーが 503 エラーで応答する
- ログ分析でネットワークトラフィックの大幅なスパイクが検出された
- 1日のうちで変な時間帯にトラフィックが急増したり、異常と思われるパターンが発生している
◆Main Types of DDoS Attacks ~DDoS攻撃の主な種類~
DDoS攻撃やネットワーク層への攻撃は、巧妙であると同時に多様になってきております。オンラインマーケットプレイスの増加により、ネットワークやサイバー攻撃に関する知識をほとんど持たずにDDoS攻撃を誰でも実行することが可能になっており、攻撃ツールやサービスも簡単に入手できるため、攻撃の可能性はかつてないほど大きな脅威となっています。
以下に最も一般的で巧妙な DDoS 攻撃を 紹介します。
1. Application, Layer-7 DDoS Attacks
アプリケーション DoS 攻撃は、よく知られている HTTP (Hypertext Transfer Protocol) や HTTPS、 SMTP、FTP、VOIP や、その他のアプリケーションプロトコルの脆弱性を利用して、標的のリソースの枯渇などを狙ったDoS攻撃となります。ネットワーク・リソースを標的とした攻撃と同様に、アプリケーション・リソースを標的とした「フラッド攻撃」や「low and slow攻撃」など、さまざまな種類の攻撃もあります。
2. Volumetric or Volume-Based Attacks
ボリューム攻撃や反射・増幅攻撃は、特定の技術プロトコルのリクエストとレスポンスの比率のずれを利用した巧妙な攻撃である。攻撃者は、攻撃対象の送信元IPアドレスを偽装しリフレクターサーバー(下図:DNS Resolver)にパケットを送信、間接的に被害者(下図:Taerget Victim)を応答パケットで圧倒することができます。この攻撃によって、高確率に、また最大規模のボリュームDDoS攻撃を発生させることが可能となります。一般的な例としては、反射型DNS増幅攻撃(下図)があります
3. SSL/TLS And Encrypted Attacks (SSL/TLS と暗号化攻撃)
攻撃者は、SSL/TLSプロトコルを使用して攻撃トラフィックをマスクし、ネットワークレベルとアプリケーションレベルの両方の脅威を更に複雑化させていています。多くのセキュリティ・ソリューションでは、SSL/TLS 攻撃の防御にパッシブ・エンジンを使用しており、リクエストのレート制限(閾値制限)のみで、暗号化された攻撃トラフィックと暗号化された正規のトラフィックを効果的に区別することが難しい場合があります。
このような攻撃を阻止するためには、機械学習ベースの自動検出・緩和機能を組み合わせた DDoS 軽減策を有した、あらゆるシーン(オンプレミス、プライベート クラウド、パブリック クラウドなど)で利用可能であることが望ましいです。
◆How To Prevent DDoS Attacks ~DDoS 攻撃を防ぐ方法~
DDoS攻撃対策導入を検討する際には、考慮すべき重要なポイント(機能)がいくつかあり、それはDDoS攻撃の軽減はもちろん、サービス可用性の確保、誤検知を最小限に制御する機能を用いていることです。
そして、振る舞いにより攻撃を検知、多様なDDoS攻撃の分析・検知・解析が可能なテクノロジー(機能)を有していることがとても重要となります。
昨今の多様なDDoS 攻撃を防ぐためには、
以下のような機能を保有していることが重要なポイントになります。
Automation (自動化)
今日の動的で自動化された DDoS攻撃には、手動による保護では回避することが難しく、提供しているサービスの保護を保証するには、優れたデータ収集、攻撃の検出、トラフィックの迂回、攻撃の軽減などユーザの介入を必要としない完全な自動化した防御対策が重要なポイントとなっております。
Behavioral-Based Protection (振る舞い検知)
正規トラフィックに影響を与えずに攻撃のみをブロックする、DDoS緩和ソリューションを導入することが重要なポイントとなり、それには、機械学習と行動(振る舞い)ベースのアルゴリズムを活用して正規のトラフィック動作を理解し、悪意のある攻撃を自動的にブロックするソリューションを保有していることが重要なポイントと言えます。その機能により防御・保護の精度が向上、誤検知を最小限に抑えることが可能となります。
Scrubbing Capacity and Global Network(Cloud DDoS services)
量的・深刻さ・複雑化・持続的といった特徴を持つDDoS攻撃は、近年明らかに増加の一途をたどっております。クラウドDDoSサービスには、大規模な攻撃や同時攻撃に直面した場合、数Tbps相当の攻撃軽減能力を持つ堅牢なグローバル セキュリティネットワークと、DDoS攻撃トラフィックからクリーンなトラフィックを分離する専用のスクラビングセンターを提供する能力を備えている必要があります。
Multiple Deployment Options(多様な導入オプション)
DDoS攻撃軽減サービには、それぞれの組織のニーズ・予算・ネットワークトポロジ・脅威のプロファイルに合わせてカスタマイズ可能な、高い柔軟性を備えていることが重要となります。様々なネットワークトポロジ、アプリケーションホスティング環境、および遅延・待機時間に対するポリシーごとに、適切な防御サービスの提供形態(hybrid, on-demand or always-on)が提供されていることも重要なポイントの一つになります。
Comprehensive Protection Against An Array Of Attack Vectors
(多様な攻撃手法に対応する総合的な保護機能)
脅威の状況は常に進化しています。最も広範な保護を提供する DDoS 緩和ソリューションは、ネットワーク層の攻撃保護だけに留まらず、前述の多様な攻撃に対する防御機能を備えていることが重要です。
◆How To Mitigate DDoS Attacks ~DDoS 攻撃を緩和する方法~
DDoS 攻撃を軽減・緩和するために、実行できる重要な手順と対策がいくつかあります。
Step 1: Alert Key Stakeholders (主要な利害関係者へ警告する)
組織内の主要な利害関係者に、攻撃とそれを軽減するための措置について警告する。
主要な利害関係者の例としては、CISO、セキュリティオペレーションセンター(SoC)、ITディレクター、オペレーションマネージャー、影響を受けるサービスのビジネスマネージャーなどがあります。警告は、簡潔でありながら情報量が多いものにする。
主要な情報は以下の通りです。
- 何が起きているのか
- 攻撃はいつ始まったのか
- どの資産 (アプリケーション、サービス、サーバーなど) が影響を受けているか
- ユーザーや顧客への影響
- 攻撃を軽減するためにどのような措置が取られているか
Step 2: Notify Your Security Provider (セキュリティ プロバイダに通知する)
各セキュリティ・プロバイダに警告を発し、攻撃を軽減するための措置を開始する必要があります。
例えば、セキュリティ・プロバイダーは、インターネット・サービス・プロバイダー(ISP)
ウェブ・ホスティング・プロバイダー、または専用のセキュリティ・サービスなど利用されている場合が多いと思います。
利用ベンダーによって、防御機能やサービスの範囲が異なります。
ISPは、ネットワークに到達する悪意のあるネットワークトラフィックの量を最小限に抑え、WEBホスティングプロバイダーは、アプリケーションの影響を最小限に抑え、それに応じてサービスを拡張する処置が施される場合があります。専用のセキュリティ・サービスでは、DDoS攻撃に対処するための専用ツールを備えていることもあります。
各ベンダーのサービスについて契約をまだ結んでいない場合や、DDoS 保護サービスに加入していない場合でも、彼らに連絡して、彼らがどのように支援できるかを確認する必要があります。
Step 3: Activate Countermeasures (対策を有効にする)
すでにDDoS対策を行っている場合は、それを有効にします。理想的には、これらの対策は、攻撃が検出されると直ちに開始されることですが、特定のツール (アウト オブ パス ハードウェア デバイスや手動でアクティブ化されたオンデマンドの緩和サービスなど) を手動で開始する必要がある場合があります。
1 つのアプローチとして、IP ベースのアクセス コントロール リスト(ACL)を実装し、攻撃元からのすべてのトラフィックをブロックすることです。これはネットワーク・ルーター・レベルで行われ、通常、ネットワーク・チームまたは ISP のいずれかが行います。この方法は、攻撃元が単一または少数である場合には有効な方法です。しかし、攻撃元が大規模なIPアドレスのプールである場合、この方法では攻撃を防げない可能性があります。
攻撃対象がアプリケーションやWebベースのサービスである場合、アプリケーションの同時接続数を制限することができます。このアプローチはレートリミッター(制限)として知られており、WebホスティングプロバイダーやCDNで頻繁に使用されている防御方法です。この方法では、悪意のあるラフィックと正当なトラフィックを区別できないため、誤検出が発生しやすい傾向があることに注意してください。
専用のDDoS 防御ツールを用いた場合には、DDoS 攻撃に対して最も広い範囲をカバーすることが可能となります。データセンター内に設定するアプライアンス型や、クラウドベースのスクラビングサービス、またはハードウェアデバイスとクラウドサービスを組み合わせたハイブリッドソリューションとして導入することが可能であったりします。
Step 4: Monitor Attack Progression (攻撃の進行状況を監視する)
Throughout the attack, monitor the progression of the attack to see how it develops. This should include:
適切な防御体制を築くためには攻撃の状況を監視し、どのような攻撃であるかを確認することが重要で、以下のような内容を確認することが重要となります。
- DDoS 攻撃タイプ? ネットワーク レベルのフラッドであるか、それともアプリケーション層の攻撃であるか?
- 攻撃の特徴は? 1 秒あたりのビット数と 1 秒あたりのパケット数の両方で、攻撃の規模はどれくらいか ?
- 攻撃は単一の IP ソースからのものか、それとも複数のソースからか ? それらを特定可能か?
- 攻撃パターンはどのようなものか ? 単一の持続的なフラッドか、バースト攻撃か ? 単一のプロトコルが関与しているのか、それとも複数の攻撃ベクトルが関与しているのか ?
- 攻撃の標的は同じままか、それとも攻撃者は時間の経過とともに標的を変更しているか?
攻撃の状況などを追跡・確認することは、攻撃を阻止するための防御のチューニングにとても重要なことです。
Step 5: Assess Defense Performance (防御性能を評価する)
最後に、攻撃が進展し、対策が有効化されたら、その有効性を評価します。
セキュリティ・ベンダーは、自社のサービス義務を約束するサービス・レベル・アグリーメントの文書を提供する必要があり、利用者はそのセキュリティ・ベンダーがSLAを満たしているかどうか、また、自社の業務に影響がないかどうかを確認する必要があります。セキュリティ・ベンダーがSLAを遵守していない場合、または攻撃を阻止できない場合は、利用者は緊急にサービスを変更する必要があるかどうかを判断する必要があります。
◆出典
https://www.radware.com/cyberpedia/ddospedia/ddos-meaning-what-is-ddos-attack/