DDoS攻撃とは
DDoS攻撃とは、「大量のトラフィックを送ること」では、ありません。大量のトラフィックを送ることは、あくまで手段です。DDoS攻撃の目的は、攻撃先のサービスをダウンさせることにあります。攻撃手法も、正常な通信のように見せかけたり、送信元を偽装したりと巧妙化しています。本ページでは、DDoS攻撃の定義、その代表的な手法について、ご紹介します。
DoS/DDoS攻撃とは
DoS攻撃からDDoS攻撃へ
DoS/DDoS攻撃とは、「大量のトラフィックを送ること」ではありません。 「大量のトラフィックを送ること」は、あくまで過程であり、攻撃の目的は、「サービスを停止させること」です。
DDoS攻撃がこれほど注目を集める以前は、DoS攻撃が主流でした。DoS攻撃とは「Denial of Service(サービスの停止)」を意味し、2000年ごろから流行し始めました。
DoS攻撃は、一人の攻撃者が、大量のトラフィックを攻撃先サーバーに送りつけ、サーバーを高負荷状態にさせる攻撃です。
防御側は、ソースが一意のIPであることから、ファイアウォールなどのACL(Access Control List)で、特定ソースIPのトラフィックをドロップしてしまえば、簡単に対処が可能です。
DDoS攻撃は、「Distributed Denial of Service(分散型サービス停止攻撃)」の略です。攻撃者は、C&Cサーバーにアクセスして、簡単な操作で、Bot化したPCやサーバーに指示を出します。指示を受けたPCやサーバーは攻撃先に対して、大量のトラフィックを送りつけ、サーバーを高負荷状態にさせます。防御側から攻撃者はまったく見えません。
DoS攻撃のように、ソースIPを指定してACLを書くことで対処することはできますが、攻撃トラフィックを送るソースIPが分散し、多数存在するため、同様の防御手法では、対策に限界があります。

サーバーだけではなく、ネットワークも保護対象
従来のセキュリティの考え方は、「守りたいアプリケーション、守りたいサーバーをいかに保護するか?」に重点がおかれていました。そのため、ユーザーやセキュリティベンダーは、アプリケーションを保護するために「守りたいアプリケーション(サーバー)」に対して、ウイルス対策を施すことで十分なセキュリティ対策と考えていました。DoS/DDoS攻撃から自社を守るとき、こうした考え方では、まったく防ぐことができません。攻撃者は、初めはサーバー宛てにDoS / DDoS攻撃を仕掛けます。攻撃により、サーバーまでのネットワーク経路上に配置されたネットワーク機器(例えば、ファイアウォール、IPS、ロードバランサ)が高負荷状態になり、ダウンしてしまいます。攻撃者は、たとえ攻撃先のサーバーが落とせなくても目的が達成できます。つまり、サーバーだけではなく、ネットワークも保護対象とする必要があることが、DoS/DDoS攻撃の非常にやっかいな点です。
代表的なDDoS攻撃手法
TCP Syn flood

DNSアンプ攻撃

コネクション型の攻撃

HTTP Get Flood

攻撃は2種類に大別されます。
ボリューム攻撃 | アプリケーション層攻撃 | |
---|---|---|
攻撃名称 | Smurf (ICMP)、TCP Syn flood、 UDP Flood、DNS アンプ攻撃、NTPアンプ攻撃 | HTTP GET Flood、TLS/SSL Attack、Slow GET、Slow POST |
送信元IP | 偽装されたもの | 真のIP |
攻撃レイヤー | L3/L4 | L7 |
影響箇所 | サーバー、ネットワーク帯域 | サーバー、ファイアウォール、IPS/IDS、ロードバランサー |
特長 | 大容量トラフィック | 小容量トラフィック |