サーバーに過剰な負担をかけてダウンさせるサイバー攻撃、DoS・DDoS攻撃について
DoS・DDoS攻撃とは?
対象サーバーに大量のデータを送り込むことでサーバーをダウンさせるサイバー攻撃です。
どちらも同じ攻撃を指します。単独で行うのか複数で行うかによって呼び名が変わります。
DoS攻撃(Denial of Service attack)
DoS攻撃は単独で大量のデータを対象サーバーに送り付けることでサーバーをダウンさせます。攻撃者は送信元を偽造してくることがあるため、特定するのは困難です。
DDoS攻撃(Distributed Denial Of Service attack)
DDoS攻撃は攻撃者が事前に乗っ取った複数の端末に指令を出すことで、乗っ取られた踏み台の端末から大量のデータを対象サーバー送り付けることでサーバーをダウンさせます。複数の端末で攻撃を行うことで、DoS攻撃よりも威力が上がるのと攻撃元の特定がより困難になります。
DDoS攻撃を得意とするハッカー集団はこのブログでも取り上げた、アノニマスです。
WebサーバーなどがダウンするとWebアプリケーションを使用することが出来なくなります。そのため、Webサイトを閲覧することが出来なくなったり、金銭的なやり取りをしているサイト等はそれを行うことが出来ません。
攻撃を受けると下記のようにサイトにアクセスすることが出来なくなります。
攻撃の種類
SYNフラッド
SYNフラッド攻撃は、TCP接続の「3ウェイ・ハンドシェイク」を悪用する攻撃です。
通常の3ウェイ・ハンドシェイク
悪用した場合
攻撃者は偽のIPアドレスを使用した状態で大量のSYNパケットを送ることで、サーバーから送られるSYN/ACKパケットが攻撃者に到着することはありません。サーバーは攻撃者から送られるACKパケットを待ち受けますが、ACKパケットは送られません。
攻撃者がACKパケットを返さないと、接続が確立しない状態(ハーフ・オープン状態)のままサーバは待たされることになります。ハーフ・オープン状態の数が多くなりすぎるとサーバ側のリソースを消費してしまいサーバーが正常に機能しなくなります。
Ping Of Death
ICMPエコー要求パケット(ping)のデータ部分は最大で65536バイトであるため、これを超えるサイズのパケットの長さを受信すると、ターゲット端末がクラッシュします。この手法は古い攻撃手法で現在では対策されていて、あまり見かけることはありません。
Pingフラッド・ICMPフラッド
大量のICMPエコー要求パケット(ping)をターゲット端末に送ることで、ターゲット端末のネットワークコネクションの帯域幅が使い切られて、正常なトラフィックが処理できなくなります。
Smurf Attack
ICMPエコー要求パケットの送信元をターゲット端末のIPアドレスにして、ターゲット端末のブロードキャストアドレス宛に大量に送り付けることで、当該ネットワーク上の全ての機器が一斉にターゲット端末のIPアドレスに向けて大量のICMPエコー応答が送られます。ターゲット端末は処理するために膨大な負荷がかかることでクラッシュします。
対策
送信元IPをブロック
攻撃元のIPアドレスを特定できる場合は、そのIPアドレスをブロックすることです。
特定の国からのアクセスをブロック
不特定多数の国から攻撃が送られてきている場合は、アクセス制限を国内だけにすることも有効です。
セキュリティツールの導入
WAF、IDS/IPS、UTM等のセキュリティツールを導入することで、対策を行います。
CDNを利用する
CloudFlareなどのCDNを利用することで、オリジンサーバーではなく複数存在するキャッシュサーバーに攻撃を分散させることでオリジンサーバーを守ることが出来ます。
以上で説明を終わりにしたいと思います。