分散型サービス拒否 (DDoS) 攻撃は、複数のコンピューターを使用して、悪意のあるプログラムを使用して1つまたは複数のサーバーに対して攻撃を開始します。 この攻撃は、サーバの性能を低下させるか、またはサーバのネットワーク帯域幅を消費する。
攻撃原理
ほとんどの場合、攻撃者は不正なアカウントを使用してDDoSマスタープログラムを1台のコンピューターにインストールし、その後エージェントプログラムを複数のコンピューターにインストールします。 DDoSマスタプログラムは、指定された期間内に多数のエージェントプログラムと通信する。 エージェントプログラムがコマンドを受信すると、エージェントプログラムは攻撃を開始する。 マスタープログラムは、数秒以内に数百または数千のエージェントプログラムを起動できます。
攻撃のリスク
DDoS攻撃は、サービスに次のリスクを引き起こす可能性があります。
重大な経済的損失
DDoS攻撃が発生すると、オリジンサーバーがサービスを提供できず、ユーザーがサービスにアクセスできない場合があります。 これは、莫大な経済的損失と評判の低下をもたらす可能性があります。
たとえば、DDoS攻撃がeコマースプラットフォームで発生した場合、Webサイトにアクセスできないか、一時的に閉鎖される可能性があります。 その結果、ユーザは商品を購入することができない。
データリーク
攻撃者は、サービスのコアデータにアクセスする可能性があります。
不公平な競争
競合他社は、競争上の優位性を得るためにサービスに対してDDoS攻撃を開始する可能性があります。
たとえば、ゲームはDDoS攻撃を受けており、プレイヤーの数は大幅に減少します。 その結果、ゲームは数日でオフラインになる可能性があります。
一般的なDDoS攻撃タイプ
データ型 | 典型的な攻撃 | 説明 |
不正なパケット攻撃 | フラグメントフラッド、スマーフ、ストリームフラッド、ランドフラッド、不正なIPパケット、不正なTCPパケット、不正なUDPパケット | 不正なIPパケットがシステムに送信されると、不正なパケット攻撃が発生します。 これにより、システムが応答を停止する可能性があります。 |
トランスポート層DDoS攻撃 | SYNフラッド、Ackフラッド、UDPフラッド、ICMPフラッド、RSTフラッド | SYNフラッドは、TCPスリーウェイハンドシェイクの脆弱性を悪用するプロトコル攻撃です。 通常のハンドシェークプロセスでは、サーバーがSYN要求を受信すると、サーバーは接続をSYNキューに保存します。 攻撃者がSYNリクエストをサーバーに継続的に送信しても、予想されるACKメッセージで応答しない場合、サーバーリソースが消費されます。 SYNキューがいっぱいになると、サーバーはユーザーからのリクエストへの応答を停止します。 |
ドメインネームサービス (DNS) 攻撃 | DNSリクエストのフラッド、DNSレスポンスのフラッド、DNSクエリフラッド (スプーフィングされたリクエストと実際のリクエスト) 、権威あるサーバー攻撃、ローカルサーバー攻撃 | DNSクエリフラッドは実際のクエリ要求を実行します。これは通常のサービス操作です。 複数のゾンビが同時に多数のドメイン名クエリ要求を開始した場合、サーバーは要求に応答できません。 これにより、サービス拒否が発生する可能性があります。 |
接続ベースのDDoS攻撃 | 低速攻撃、接続枯渇攻撃、低軌道イオン大砲 (LOIC) 、高軌道イオン大砲 (HOIC) 、Slowloris、PyLoris、およびXOIC | Slowloris攻撃は、ターゲットサーバーの同時接続リソースを使い果たす可能性があります。 同時接続の数が上限に達すると、サーバーはその後の接続の試みを拒否します。 たとえば、サーバーが新しいHTTP要求を受信すると、サーバーは要求を処理し、応答を返し、接続を閉じます。 接続が開いたままの場合、サーバーは別のHTTPリクエストを受信したときに新しい接続を確立する必要があります。 すべての接続が開いたままの場合、サーバーは新しい要求への応答を停止します。 Slowloris攻撃はHTTPの機能を悪用します。 HTTPリクエストは |
アプリケーション層攻撃 | HTTP GETフラッド、HTTP POSTフラッド、およびHTTPフラッド攻撃 | アプリケーション層攻撃は、ユーザー要求をシミュレートできます。 例えば、攻撃は、要求が検索エンジンおよびクローラから送信されるときにユーザ要求をシミュレートし得る。 攻撃と通常の要求の違いを区別することは困難です。 webサービスで大量のリソースを消費するトランザクションやページは、ページングやシャーディングなどの同時実行性の高いシナリオでのHTTPフラッド攻撃に対して脆弱です。 ページサイズが過度に大きい場合、頻繁なページングは大量のリソースを消費する。 攻撃は、ハイブリッド攻撃である。 頻繁に実行され、実際のユーザー操作の機能を持つ操作は、HTTPフラッド攻撃として識別されます。 例えば、ウェブサイトがチケットボットによってアクセスされる場合、そのアクセスは、HTTPフラッド攻撃として識別され得る。 HTTPフラッド攻撃は、webアプリケーションのバックエンドサービスを対象としています。 HTTPフラッド攻撃は、サービス拒否を引き起こすだけでなく、応答時間、データベースサービス、ディスクの読み取りおよび書き込み操作など、webアプリケーションの機能とパフォーマンスに直接影響します。 |
DDoS攻撃を特定するにはどうすればよいですか?
次のいずれかのシナリオが発生した場合、サービスがDDoS攻撃を受けている可能性があります。
サーバーで予期しない切断が発生し、アクセス速度が遅くなり、ユーザーはオフラインになりますが、ネットワークとデバイスは期待どおりに動作します。
サーバーのCPU使用率またはメモリ使用率が大幅に増加します。
アウトバウンドトラフィックまたはインバウンドトラフィックが大幅に増加します。
あなたのウェブサイトまたはアプリケーションは突然多数の未承諾の要求を受け取ります。
サーバーへのログインが失敗するか、過度に遅くなります。
アセットが攻撃されているかどうかを確認するには、Traffic Securityコンソールの [アセット] ページでアセットのステータスを確認します。 アセットのステータスを表示する方法の詳細については、「アセットページの表示」をご参照ください。