分散型サービス拒否 (DDoS) 攻撃の緩和
分散型サービス拒否 (Distributed Denial of Service、DDoS) 攻撃は、Web サイトやその他のインターネットベースのサービスからのサービス提供を妨害する手法として長い間使われ続けています。
基本的には、処理しきれないほど大量のリクエストまたはデータパケットをサーバーに送り込むことで、サーバーに本来のユーザーに対するサービスを提供できなくさせてしまう手法です。近年では、特定のアプリケーションやプロトコルを標的とした、より高度な攻撃も出現しています。この攻撃では、多くの場合、インターネット上の侵害されたクライアントとサーバーを使用してリクエストが生成されます。現在の IoT デバイスはセキュリティ保護が不十分なものが多く、ハイジャックされた IoT デバイスを使用した攻撃も増えています。
インフラストラクチャ層保護
DDoS 攻撃は、ネットワークスタックの複数の層が標的になる可能性があります。当初の攻撃は、インフラストラクチャ層、または OSI 参照モデルでのレイヤ2からレイヤ4をターゲットにして実行されるものでした。これらは、単純にサービスを提供するサーバーを大量のリクエストやデータパケットで溢れさせてしまう従来型のネットワークへのフラッド攻撃です。ネットワークを溢れさせてしまうインフラストラクチャ層攻撃には、いくつかの種類があります。
インフラストラクチャ層攻撃に対する LoadMaster の組み込み保護機能
| 攻撃 | 説明 |
|---|---|
| SYN フラッド | SYN フラッド攻撃は、TCP ハンドシェイクプロトコルを使用して、タイムアウトするまで受信側サーバーを拘束するものです。攻撃者は SYN コマンドを送信して TCP 接続を開始します。受信側サーバーは確認のために ACK を送り返しますが、攻撃者は3番目の応答を確認するためのステップを送信しません。攻撃されたサーバーは、セッションがタイムアウトするまで待機することになり、その間は実際の要求が処理できなくなります。 |
| TCP リセット | 偽の TCP リセットコマンドがサーバーに送信され、サーバーの TCP 接続が切断されます。 |
| UDP ストーム | UDP は、TCP のようなハンドシェイクを必要としません。攻撃者が、攻撃対象のサーバーに存在しないランダムな UDP ポートにサービスに対する UDP リクエストを送信すると、宛先到達不能応答が返されます。実行できない UDP リクエストが多数送信されると、攻撃されたサーバーは応答しようとして高い負荷がかかります。 |
| DNS リフレクター | これは、DNS サーバーに送信されるリクエストに偽装された IP アドレスを使用し、DNS サーバーが攻撃対象のサーバーに大量のデータを返す攻撃です。DNS 応答は、要求の開始者ではなく、攻撃されたサーバーに反映されます。同じ種類の攻撃がネットワーク上のタイムサーバーに対しても機能しますが、その場合は DNS ではなく NTP 要求を行う NTP リフレクター攻撃になります。どちらのタイプのリフレクター攻撃も通常、増幅技術を使用して、攻撃対象のサーバーに送信されるデータを増大させます。メッセージサイズが 70 倍以上に増幅されることも珍しくなく、攻撃されたサーバーを圧倒します。 |
アプリケーション層保護
インフラストラクチャ層の DDoS 攻撃に対する保護対策が講じられ安定してくると、攻撃者はネットワークスタックの上位層、特に、アプリケーション層、つまり OSI 参照モデルにおけるレイヤ7をターゲットとする手法を開発しました。アプリケーション層攻撃はインフラストラクチャ層攻撃よりも防御が困難ですが、LoadMaster は、アプリケーション配信コントローラー、ロードバランサー、およびセキュリティツールとしてネットワーク上に配置でき、論理的な観点から攻撃を防御するのに理想的です。LoadMaster には、DDoS 保護をアプリケーション層まで拡張するように調整された機能が組み込まれています。
アプリケーション層攻撃に対する LoadMaster の組み込み保護機能
| 攻撃 | 説明 |
|---|---|
| GET フラッド | GET フラッド攻撃では、サーバー上のアプリケーションやサービスの公開 URL が何度も繰り返し要求されます。そのため、他の正当なリクエストが許容可能な時間枠内で処理できなくなります。 |
| POST フラッド | この攻撃は、Web サイトをターゲットにすることだけを目的として開発されたツールを使用します。Web サービスのみが攻撃の影響を受け、他のサービスは通常通り実行できます。このツールは複数の接続を開き、完了しない部分的な HTTP リクエストを送信することで、それらの接続をできるだけ長く開いたままにします。最終的に、Web サービスは接続を使い果たし、実質的に使用できなくなります。 |
より頑健な保護対策
DDoS 保護の中核部分として Kemp LoadMaster を導入することに加えて、実行できる手続きは他にもあります。ファイアウォール、ルーター、侵入検知システムなどのすべてのネットワークデバイスは、最新のソフトウェアリリースで最新の状態に保つ必要があります。
重要なサービスは複数のサーバーに分散し、LoadMaster がそれらへの接続を管理するのが最適です。可能であれば、サーバーを複数のネットワークデータセンターに分散するようにします。Azure や AWS などのクラウドサービス (ハイブリッドか、純粋なクラウド展開で) にも容量を配置することは望ましい選択肢です。その場合も、LoadMaster がリクエストを処理し、サーバーの場所に関係なく負荷をサーバー全体に分散します。