DDoS攻撃とは何ですか？

ハッカーによってウェブサイトがダウンしたり、人気のあるウェブサイトがクラッシュしたりしたことを聞いたことがある可能性が高いです。人気のある高トラフィックウェブサイトのダウンタイムの大半は、分散型サービス拒否（DDoS）攻撃によって引き起こされます。

ネットワークデバイスが処理できるトラフィックの帯域幅には限界があります。この限界は、デバイスの処理能力、接続ノード（スイッチまたはルーター）のデータ境界、およびインターネットサービスプロバイダー（ISP）によって許可される最大接続速度と帯域幅に依存します。

これらの全てがどのようにしてウェブサイトのダウンタイムを引き起こすのか？これらの攻撃はどのように発生するのか？この記事では、DDoS攻撃についての暴露と、それを避けるまたは防ぐ方法について説明します。

一般的なDDoS攻撃の内訳

ハッカーはまず、ボットネットとして知られる脆弱なコンピュータの軍隊を募集することからDDoS攻撃を開始します。ボットネットは、マルウェアによって侵害された相互接続されたコンピュータとデバイスのシリーズです。次に、ボットネットはハッカーによって使用され、同時にリソース要求を送信して被害者の接続帯域幅を使用し尽くし、その結果、正当なリモートユーザーがデバイス上のサービスにアクセスするのを防ぎます。

DDoS攻撃に使用されるデータパケットは、インターネット上での日常的な通信に使用されるものと同じか似ていますが、一度に圧倒的に大量のチャンクで調整されます。ビデオストリーミングトラフィックを処理するオンラインサーバーは、秒間20ギガバイトの帯域幅を許可することができます。比較すると、DDoS攻撃は、1秒あたり最大1テラバイトのデータで単一のサーバーやネットワークデバイスを負荷することができます。このようなトラフィック量は、Googleのような大規模なサービスを応答不能にするのに十分です。

DDoS攻撃の潜在的なターゲットは誰ですか？

DDoS攻撃は、インターネット接続を持つ複数のデバイスの脆弱性と、初心者ハッカーの使用のためにダークウェブで利用可能なボットネットの存在のために非常に容易です。多くのインターネットユーザーや、驚くべきことに一部の組織も、デバイスに付属していたデフォルトのメーカーログイン詳細を変更せずにインターネット対応技術を導入しています。ハッカーはそのようなデバイスをインターネットで探し、それらにアクセスしてマルウェアをインストールし、実際の所有者が自分のデバイスがボットネットの一員であることを知らないまま、それらのデバイスを遠隔で制御することができます。

脆弱なデバイスのネットワークで構成されるボットネットは、ここでの主な被害者ではありませんが、単一のウェブサイトやオンラインサービスに対して調整された攻撃を実行するために使用されます – これらはDDoS攻撃の主な被害者でした。

ウェブサイトやオンラインサービスプラットフォームに対するDDoS攻撃は、偽のパケット、受信メッセージ、または接続の開始を要求するリクエストの形をとることがあります。これらは主に、競合他社の評判を傷つけて市場シェアを低下させるため、政治的な敵に対する攻撃、または時には人権運動や団体に対する落胆作戦として実行されます。

Amazon Web Services (AWS)は2020年2月に最近のDDoS攻撃を経験しました。AWSの大手顧客（名前非公開）が攻撃の対象となり、そのオンラインサービスは3日間にわたって影響を受けました。2.3テラバイト/秒に達するトラフィック帯域幅が、AWSの膨大な帯域幅の許容量を子供の遊びのように見せました。

これまでで最も人気のあるボットネットはMiraiで、2016年に一連のDDoS攻撃の中心でした。2016年9月、インターネットは当時最大規模のDDoS攻撃の舞台となり、Miraiボットネットによってピーク時には620Gbpsの帯域幅でサイバーセキュリティアナリストのブログが攻撃されました。その月の後半にDEFCONの集まりでMiraiコードの一部が公開された後、より大規模な攻撃がドメインネームサービスの大手プロバイダーであるDynに対して行われました。

Dynは、Mirai攻撃の時点でNetflix、GitHub、PayPal、Reddit、Airbnb、HBOなどのウェブサイトのDNSプロバイダーでした。Dynのウェブサイトネットワークに対する1.5ギガビット毎秒のDDoS攻撃は、攻撃が続いた間、彼らのサービスを応答不能にしました。2016年には、CCTVカメラ、コーヒーメーカー、さらにはベビーカムモニターなど、乗っ取られたIoTデバイスを含む他のいくつかのMirai攻撃がありました。

DDoS攻撃の種類

DDoS攻撃にはさまざまなタイプがあります。以下でいくつかを見てみましょう：

ゼロデイDDoS: ゼロデイDDoSは、ダークウェブ上でホストされている秘密のウェブサイトでハッカーによって使用される用語です。この用語は、販売されている一連のソースコードと募集されたボットネットの軍隊を指し、セキュリティパッチがまだリリースされていない脆弱性レベルを示しています。

Ping of Death: これは攻撃者がネットワークノードに改ざんされたピングパケットを複数送信することを含みます。ローカルデバイス（スイッチやルーター）を扱うデバイスには、1秒あたりに許可されるパケット長の制限があります。そのため、長いパケットはしばしば分割され、受信ホストによって再構成されます。IPパケットの平均データ長は約1700バイトですが、ハッカーは受信側で再構成された時に最大71,423バイトのデータサイズを持つPing of Deathを実行しようとしています。このタイプのDDoS攻撃は、サーバーのメモリを効果的に使い果たし、攻撃が続く間、正当なクエリに応答することが不可能になります。

UDPフラッド攻撃; これは、User Datagram Protocol (UDP) クラスのデータの一貫したストリームで被害者を氾濫させるタイプのDDoS攻撃です。このタイプの攻撃では、リモートホストがランダムなポートで繰り返し接続要求で氾濫します。UDPフラッドと似ているのはICMP（ping）フラッドで、接続のフィードバックを待たずに速くランダムなpingパケットを送信します。パケットフラッドはホストのリソースと帯域幅を使い果たし、時には正当な接続クエリが行われたときにハンドシェイクを確立することが不可能になります。

SYN Flood 攻撃: このタイプの攻撃は、TCP接続の脆弱性、つまり3ウェイハンドシェイクを悪用します。3ウェイハンドシェイクでは、リモートコンピュータがサーバーに接続要求を送信し、サーバーがその要求を認める返信をします。リモートコンピュータも、接続開始パケットを送信して、その認証に返信する必要があります。ハッカーがこのチャネルを通じてDDoS攻撃を実行するために行うことは、ボットネットを使用して単一のホストに複数のSYN接続要求を送信することです。サーバーは各ノードにACKメッセージで応答しますが、ハッカーはボットネットが応答するのを防ぎます。ACKメッセージへの応答がないため、攻撃されたサーバーは応答を待つ状態になり、被害者のリソースが尽きるまでさらにハンドシェイク要求が送信されます。

HTTPフラッド攻撃: これらは、ウェブサイトやサーバーへの送受信パケットのGETおよびPOST活動を目的とした正当なリクエストを悪用することによって行われます。この攻撃は通常、リモートサーバーを騙して、偽のリクエストに最大限のリソースを割り当てさせます。

DDoS攻撃に対する予防策

前述の通り、DDoS攻撃は2段階で実行されます。ボットネットを構成するノードの募集と、被害者のネットワークに過剰なトラフィックを流し込むことです。家庭用インターネットネットワークの日常ユーザーは、以下の手順に従って個人デバイス上のすべての脆弱性の源を排除することで、ボットネット攻撃への参加を防ぐことができます：

新しいデバイスでパスワードを変更する：

ルーター、スイッチ、Wi-Fiハブ、IoTデバイスなどのネットワークハードウェアには、デフォルトのパスワードが設定されています。デフォルトのパスワードを変更することは理にかなっています。その手順により、そのデバイスとそれに接続されている他のすべてのデバイスが侵害されるリスクから一歩遠ざかります。ユーザーの取扱説明書やメーカーのウェブサイトを見れば、デバイスのパスワードを変更する簡単な手順が明らかになるはずです。

2. 最新かつ信頼できるセキュリティリソースを使用する:

フロントエンドデバイス、ファイアウォール、およびオペレーティングシステムのファームウェアを更新することは、ネットワークデバイスへのマルウェアの侵入に対する最初の防御線となります。

組織がネットワークインフラがDDoS攻撃を受けていると判断した場合、以下の対応策を実施することで、ダウンタイムとそれによる損失を最小限に抑えることができるはずです。

3. トラフィックの急増を検出するゲートウェイ技術を活用する

DDoS攻撃は、早期に気づけば簡単に抑えることができます。これにより、ISPに連絡するのに十分な時間が確保され、ISPは最善のDDoS攻撃防止技術を実施することができます。ISPは、利用可能な帯域幅を持つサーバーにトラフィックを分散させたり、トラフィックをシンクホールやブラックホールにルーティングすることで、DDoS攻撃の影響を停止または最小限に抑えることができます。しかし、ブラックホールは、攻撃されたIPアドレスに向かうすべてのトラフィック（正当なものも不正なものも）を「nullインターフェース」の穴に送るため、より効果的です。一方、シンクホールはデータパケットをフィルタリングしようとします。

4. ネットワークリソースのバックエンド再構成

スイッチやルーターのようなハードウェアによって、許可される帯域幅の量を制限することが可能です。これはファイアウォールにも同様に適用されます。トラフィックの制限により、DDoS攻撃特有の膨大な帯域幅のトラフィックが遮断され、通常の特徴を持つパケットのみがローカルネットワークに許可されます。

5. IoTデバイスを安全に保つ

コーヒーメーカーの脆弱性が悪用され、カジノのネットワークインフラがハックされたと言われています。以前にIoTデバイスに関して与えられた助言は強調する価値があります – IoTデバイスを箱から出したらすぐにデフォルトのパスワードを変更し、デバイスのファームウェアを定期的に更新するよう努めてください。

## 結論

DDoS攻撃は難しく複雑に思えるかもしれませんが、もうそうではありません。この記事を通じて新たに得た、または更新されたDDoS攻撃に関する知識を持って、ISPがあなたのウェブサイトをDDoS攻撃から守る能力を知ることは、ISPを選ぶ際にチェックすべきリストに含めるべきです。