The Hacker Newsは12月1日(現地時間)、「Discover How Gcore Thwarted Powerful 1.1Tbps and 1.6Tbps DDoS Attacks」において、Gcoreの顧客であるゲーム企業が2度にわたり受けた大規模な分散型サービス拒否攻撃(DDoS)について、その詳細と対抗策について解説した。

  • Discover How Gcore Thwarted Powerful 1.1Tbps and 1.6Tbps DDoS Attacks

    Discover How Gcore Thwarted Powerful 1.1Tbps and 1.6Tbps DDoS Attacks

2023年11月、Gcoreの顧客であるゲーム業界の企業に対し、1.1Tbpsと1.6Tbpsに達する大規模な分散型サービス拒否攻撃が2度も行われたという。幸いなことに、どちらの攻撃もGcoreの防護を突破することはできず失敗している。興味深いことにこれら攻撃はそれぞれ異なる手法が使われており、Gcoreの防護を突破するために試行錯誤したものとみられている。

1度目の攻撃ではUDP( User Datagram Protocol)を用いた攻撃が行われた。この攻撃では次の手法が使用されたという。

  • ランダムなUDP送信元ポートを使用することで、パケットフィルタリングを回避
  • 送信元IPアドレスを偽造することで、本当の送信元を隠蔽

攻撃者はこれら手法を活用して力押しの攻撃を行い、データセンターのネットワーク帯域幅をすべて消費してDoSを成功させようとしたものとみられている。この結果、最大で1.1Tbpsのトラフィックが検出されている。

2度目の攻撃では、TCPのフラグを操作した攻撃が行われている。主にACK、PSHを組み合わせたSYNフラッド攻撃が行われ、サーバ側のリソース不足を狙ったものとみられている。この攻撃では開始時に1.6Tbpsものトラフィックを計測し、その後も700Mbps前後で攻撃が継続したとされる。

これら攻撃に対し、GCoreのセキュリテイソリューションは次のような技術により、顧客サービスを継続しながら攻撃を防いだという。

  • ダイナミックトラフィックシェーピング - 重要なサービスの通信を保護するために、帯域幅が大きく変動する通信を抑制する
  • 異常検知と隔離 - 機械学習に基づく人工知能(AI: Artificial Intelligence)が動作を分析して異常を検出。異常が検出されると追加の分析のため、トラフィックを別のセグメントに隔離する
  • 正規表現フィルタ - 正規表現のフィルタルールにより、正規のトラフィックに影響を与えずに悪意のあるトラフィックを防止する
  • 協力的な脅威インテリジェンス - 同業他社との脅威インテリジェンスの交換に積極的に取り組む。共有された洞察とリアルタイムの脅威情報により、進化する攻撃への迅速な対応が可能となる

The Hacker Newsによると、1.5Tbpsを超えるような分散型サービス拒否攻撃は高度な手法による攻撃のため、既存のセキュリティソリューションを突破する可能性があり危険性が高いという。2023年は平均攻撃量と最大攻撃量の両方で増加を記録しており、脅威はこれからも増す傾向が予想される。