Sucuriはこのほど、「How to Stop a DDoS Attack in 5 Steps」において、DDoS(Distributed Denial of Service attack:分散型サービス拒否攻撃)の被害を軽減する5つの基本的な対策を紹介した。

  • How to Stop a DDoS Attack in 5 Steps

    How to Stop a DDoS Attack in 5 Steps

3種類のDDoS攻撃の手法

DDoS攻撃とはオンラインサービスの提供を妨害する攻撃手法。一般的には、侵害された複数の通信機器を使用してリモートから攻撃が行われる。DDoS攻撃の手法としては、主に次の3種類があるとされる。

大量のトラフィックを送信

サーバの通信帯域に過負荷をかけたり、リソースを過剰に消費させたりしてサービスの提供を妨害する。「UDPフラッド攻撃」、「ICMPフラッド攻撃」、「Pingフラッド攻撃」などが該当する。

プロトコルの悪用

レイヤ3(ネットワーク)またはレイヤ4(トランスポート)プロトコルスタックの弱点を悪用してネットワークリソースを消費させる攻撃手法。「Ping of Death」、「SYNフラッド攻撃」などが該当する。

アプリケーション層への攻撃

DNSやWebアプリケーションに焦点を当てた攻撃手法。負荷の大きいスクリプトの実行や、データベースアクセスを大量に発生させるなどの攻撃を行う。「HTTPフラッド攻撃」などが該当する。

DDoS攻撃からシステムを保護するための5つの対策

Sucuriは、こうした手法による攻撃からオンラインシステムを保護する対策として、以下5点を提示している。

  1. 攻撃の特定 - 分散型サービス拒否攻撃を早期に発見する。攻撃の早期発見はその後の影響とダウンタイムに大きな違いが生まれるため重要。独自のサーバを運用している場合は、攻撃の有無を検出できるサービスを導入する
  2. 十分な帯域幅とリソースの維持 - オンラインサービスでは時としてキャンペーンやイベントの開催により大きな帯域幅とリソースを確保することがある。このような余分な帯域幅とリソースは分散型サービス拒否攻撃を受けた際に数分間の対策時間を与えてくれる可能性がある
  3. ネットワーク境界の防御 - 独自のサーバを運用している場合は、インターネットとの境界部分にて複数の対策を実施できる。時間ベースのリクエスト数の制限、攻撃の発信元をブロックするフィルタの設置、ICMP、SYN、UDPフラッドへの対策などが可能。ただし、この対策は大規模で高度なDDoS攻撃にはあまり効果がない
  4. Webアプリケーションファイアウォール(WAF: Web Application Firewall)の導入 - 分散型サービス拒否攻撃を自動的に軽減するWebアプリケーションファイアウォールを導入する
  5. 国ベースのフィルタを導入 - 国ごとに割り当てられているIPアドレスの一覧を使用して、国ごとにアクセス制限を実施する。この一覧はリアルタイムに更新される保証がないため、確実性が低い点に注意が必要。また、攻撃者はこの保護を回避するためにプロキシを使用する可能性がある

近年のDDoS攻撃は多くの場合、Webサイト、個人のコンピュータ、モノのインターネット(IoT: Internet of Things)機器、ルータなど侵害した通信機器を悪用して世界中から一斉に攻撃が行われる。こうした攻撃を行うためのサービスが販売されており、Sucuriによると150ドル/週程度で購入できるという。これは攻撃にかかるコストに対し、サービスを妨害されたことによって発生する損害のほうが大きい可能性があることを意味している。そのため、オンラインサービスの停止が大きな損害につながる企業には、積極的に上記のような対策を講じることが望まれている。