DDoS攻撃手法

 2018.06.18  株式会社ネットワークバリューコンポネンツ

DDoS攻撃とは何ですか?

DDoS (分散型サービス拒否)攻撃のボリューム増、サイズ増、および高度化は、急速に進んでいます。すべての企業がこれらの脅威に対してさらに大きな優先順位を持って防御する必要があります。DDoS攻撃に備えるためには、その攻撃方法を知り、最も広く使用されている戦術のいくつかを学ぶことが重要です。

[RELATED_POSTS]

DDoS攻撃は複雑に聞こえるかもしれませんが、理解することはそれほど難しくありません。 一般的なアプローチは、標的サーバを、複数のマシンから数千の通信要求でいっぱいにすることです。これにより、サーバのリソースが枯渇し、正当なユーザ要求に応答することができなくなります。
もう一方のアプローチは、ユーザと標的サーバ間のネットワーク接続を妨害することです。これは、パイプを詰まらせて水が流れることができない状態をイメージしてください。
攻撃するマシンは、多くの場合、地理的に分散し、多くの異なるインターネット接続を使用しますので、攻撃を制御することを非常に困難にします。DDoS攻撃は、EコマースやSaaS (Software as a Service) ベースのビジネスなど、Webサイトに大きく依存している企業にとっては非常に深刻な結果をもたらすことになります。

OSI(開放型システム間相互接続)モデルは、通信ネットワークにおける概念的な7層を定義します。 DDoS攻撃は、主にネットワーク層(レイヤ3)、トランスポート層 (レイヤ4)、およびアプリケーション層(レイヤ7)に対して仕掛けられます。

  • ネットワーク層(レイヤ3/4)DDoS攻撃:
    DDoS攻撃の大半は、ネットワーク層とトランスポート層を標的としています。 データパケットおよび他のトラフィックの量がネットワークやサーバを過負荷にし、その利用可能なすべてのリソースを使いきってしまうような状態にします。
  • アプリケーション層(レイヤ7)DDoS攻撃:
    Webアプリケーションの欠陥または脆弱性を狙います。 DDoS攻撃により、Webアプリケーションを動かしているサーバやデータベースを停止させます。通常、正当なユーザトラフィックを模倣するため、攻撃を検出することが難しくなっています。

ネットワーク層: Volumetric攻撃

Volumetric攻撃は、標的ネットワークに対して、利用可能なネットワーク帯域幅を完全に飽和させるデータパケットを送信してフラッドを発生させます。この攻撃は、標的ネットワークやサーバに過負荷を与えて多大な輻輳を発生させ、正当なユーザのアクセスを妨害します。
Volumetric攻撃は、規模を拡大し、より複雑になり、攻撃時間も長期化しています。あらゆる業務サーバを数分以内にダウンさせることができます。これらのネットワーク層(レイヤ3および4)の攻撃は、サーバに至るインターネット回線の飽和、ネットワークリソースの枯渇やネットワーク機器の性能超過を引き起こします。

Volumetric DDoS攻撃が進化し続けており、その対策としてネットワークリソースを追加することは多大なコストを要します。

ネットワーク層: コンボ型SYNフラッド攻撃

【SYNフラッド攻撃とは】

TCP接続シーケンス(「3ウェイ・ハンドシェイク」)において、通信の要求者がホストとのTCP接続を開始するために最初にSYNメッセージを送信します。 サーバは、SYN-ACKメッセージで応答し、要求者からのACKメッセージの受信確認により、ネットワーク接続が開始されます。

SYNフラッド攻撃では、通信の要求者が標的サーバに複数のSYNメッセージを送信しますが、確認ACKメッセージを送信しません。 また、偽装SYNメッセージを送信することで、サーバが偽装IPアドレスにSYN-ACK応答を送信することもあります。もちろん、その偽装IPアドレスはSYNメッセージを発信していないので、決して応答しません。
このようにSYNフラッドは、新しい接続を不可にするまでサーバリソースを専有し、最終的にサービス拒否が生じます。

【コンボ型とは】

コンポ型は、通常のSYNパケットとサイズが大きいSYNパケットを用いたSYNフラッド攻撃です。
通常のSYNパケットは、サーバリソースを枯渇させる一方、パケットサイズが大きいSYNパケットは、回線を飽和させます。

コンボ型SYNフラッド攻撃は、攻撃者にとって好ましい武器です。 標的サーバまたはファイアウォールやロードバランサのようなネットワーク機器のリソースをすぐに消費し、従来型のDDoS攻撃軽減対策では太刀打ちできません。

ネットワーク層: NTP増幅攻撃 (NTPリフレクション攻撃)

コンピュータは、システムを正しい時間に同期させるためにインターネット上でNTP(ネットワーク・タイム・プロトコル)を使用します。

Imperva製品に関するお役立ち資料

NTP増幅攻撃は、NTPサーバ上の「monlist」機能を悪用します。monlistで問い合わせを送ると、そのNTPサーバが過去に通信したマシン、最大600台分のIPアドレスを返答します。攻撃者は、標的サーバの偽装IPアドレスを使用して、NTPサーバにMONLIST要求を送信します。
したがってNTPサーバは元の要求よりもはるかに大きい応答を返します。 多数の脆弱なNTPサーバを使用することにより、複数のデータパケットで飽和した標的サーバに対して、攻撃者は簡単に不正アクセスを仕掛けることができます。

NTPは、OSI基本参照モデルの第7層(アプリケーション層)に位置し、UDPポートの123番を使用します。 UDPプロトコルは任意のハンドシェイクを必要としないため、NTP増幅攻撃は大規模化することがあります。

世界中で40万以上のNTPサーバがあると言われています。 そのいくつかがNTP増幅攻撃で使用された場合、700倍まで増幅することもできますので、インターネットのトラフィックに大きな打撃をもたらす可能性も小さくありません。

ネットワーク層: ヒットアンドラン (Hit and Run) 攻撃

その名前が示すように、ヒットアンドラン攻撃は、断続的にランダムな間隔でショートバーストを発生させる攻撃です。 他のDDoS攻撃と異なる点は、その攻撃期間の長さで、数日あるいは数週間続くこともあります。また、他の攻撃とは異なり、攻撃が連続しておらず、特に反応の遅いDDoS攻撃対策を回避するように設計されています。

他の種類のDDoS攻撃の脅威の高度化にもかかわらず、ヒットアンドラン攻撃は、低コストで展開しやすい攻撃として攻撃者に利用され続けています。

ヒットアンドラン攻撃は、バーストごとに手動でオン/オフを操作するような「オンデマンド」のDDoS緩和ソリューションを撹乱します。 つまり、DDoS攻撃対策業界で主要な「オンデマンド」ソリューションではなく、「常にオン」である総合的なソリューションを必要とします。緩和するために数秒以上かかるソリューションでは歯が立ちません。

【ヒットアンドラン攻撃の最近の動向】

1回のショートバーストは、通常20~60分続き、 標的サーバに副次的な被害を引き起こした後、通常12~48時間後に再び攻撃が発生する傾向にあります。

マルチベクトル型攻撃

今までは、DDoS攻撃は単一の攻撃タイプ、またはベクトルを使用していました。 しかし、ネットワークまたはサーバを無効にするために、複数のベクトルをする攻撃が増えています。 マルチベクトル型と呼ばれている攻撃は、以下の要素を組み合わせ構成されています:

  1. ネットワーク層 Volmetric攻撃
  2. トランスポート層 State-exhaustion攻撃
  3. アプリケーション層攻撃

マルチベクトル型のアプローチは、企業や組織に副次的な被害を与えることができるので、攻撃者にとって非常に魅力的です。 マルチベクトル型攻撃は、複数の異なるネットワークリソースを標的にしたり、一つのベクトルを囮に使い、もう一つのより強力なベクトルを主武器として使用して、成功の確率を高めます。

マルチベクトル型攻撃が非常に流行しているという事実は、攻撃者がWebサイトのセキュリティやDDoS防御製品に関するノウハウを貯めていることを示しています。そのため、データセンター/企業全体に渡る多層的なアプローチと高度な技術を持つITチームを必要とするため、攻撃緩和が極めて困難になってきています。

ブラウザ型ボットネット

ブラウザ型ボットネットは、Webブラウザ内で実行されている悪意のあるソフトウェアのコードセグメントで構成されています。 ボットは、正当なWebブラウジングセッション中に実行され、ブラウザが閉じられるとボットのセッションも自動的に終了します。 ブラウザ型ボットネットは、悪質なWebサイトを訪問する際に疑いを持たないユーザのコンピュータにひそかにインストールされています。 攻撃者は複数のボット化したコンピュータから標的サーバに対して同時に攻撃を仕掛けることができます。

いくつかのDDoSボットは、DDoS攻撃対策を回避するために、クッキー・サポートのようなブラウザの動作を模倣します。 DDoSボット攻撃は、アプリケーション層を標的とし、攻撃を成功させるためには大容量を必要としないため、非常に危険です。 中規模のサーバをダウンさせるためには、毎秒50~100の要求を標的サーバに出すだけです。ボット攻撃は、検知しづらく、被害が発生した後に明らかになる場合も少なくありません。

レイヤ7の攻撃を識別するためには、基礎となるアプリケーションを理解する必要があります。 また、悪質なボット・トラフィック、検索エンジンのボットなど通常のボット・トラフィック、および人間のトラフィックとの適切な識別が必要です。 着信トラフィックを分析し、訪問者の身元、行動、およびレピュテーションに基づいてリスクスコアを算定する機能も必要です。

偽装されたユーザ・エージェント

「グーグルボット」などの良いボットは、Webサイトが正しく検索エンジンにインデックスされていることを確認するために重要です。 このような良いボットは誤ってブロックしないことが重要です。

ユーザ・エージェントの偽装は、使用される頻度の高い攻撃手法です。 ここで使用されるDDoSボットは、検知を回避するために、GoogleやYahooなど信頼できるソースからの「良い」ボットになりすましています。 この方法を使用すると、ボットは、低レベルのフィルタを通過し、標的サーバに大混乱をもたらすステップに進むことができます。

主な偽装されたユーザ・エージェント (2014年上半期)
33.0% Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
16.0% Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
13.0% Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
11.7% Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
10.4% Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)
6.8% Mozilla/4.0 (compatible; MSIE 7.00; Windows NT 5.0; MyIE 3.01)
6.5% Mozilla/4.0 (compatible; MSIE 8.00; Windows NT 5.0; MyIE 3.01)
1.6% Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/8.0
0.2% Mozilla/4.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.9.0.11)
0.1% Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)

上記のリストは、悪質なボットによって偽装される正当なボットで、多くは検索エンジンです。 DDoS攻撃軽減の観点に立てば、正当な検索エンジンのボットが示す高い予測可能な行動パターンを踏襲し、発信元が所定の場所であるという点で、悪質なボットはすべてのアプリケーション層の課題を明らかにしています。

共有ボットネット

ボットネットは、マルウェアによって乗っ取られた、インターネット上の侵害されたコンピュータのグループです。 マシンの所有者は、通常、そのマシンに悪意のあるソフトウェアがインストールされ、「ゾンビ」化したマシンがDDoS攻撃に使用されていることに気づいていません。 PCに限らず、ホスティング環境や様々なインターネットに接続されたデバイス(例: パスワードデフォルト状態のプリンタやルータ、IoTデバイス)がハイジャックされてボットネットを形成している場合もあります。

ボットネットは、ハッカーの間で共有されており、異なるターゲットに対する攻撃が同一ボットネットによって行われていることも多くあります。共有ボットネットは、インターネット上でレンタルが可能で、誰でも簡単に使用することができます。

ボットネットの売買やレンタルを取り扱う市場がインターネット上に存在し、非常に低価格かつ簡単に利用することができるため、共有ボットネットを使用した攻撃は、急増を続けています。

出典: The Top 10 DDoS Attack Trends

Incapsula

RECENT POST「Imperva」の最新記事


DDoS攻撃手法
Impervaご紹介資料

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事