DDoS 攻撃の種類

分散型サービス拒否（DDoS）攻撃は、今日の組織が直面する最も普遍的で破壊的なサイバー脅威の一つです。単一ソースのサービス拒否(DoS)攻撃とは異なり、DDoS攻撃は大量の侵害されたデバイス（ボットネット）を利用して、圧倒的な量の悪意のあるトラフィックを生成します。リクエストの洪水は、ターゲットサーバーまたはネットワークリソースを急速に飽和させ、パフォーマンスを深刻に低下させ、正当なユーザーが重要なサービスにアクセスするのを妨げる可能性があります。この圧力は、接続されたシステムに連鎖効果をもたらし、全体的な運用リスクを増大させる可能性もあります。

サイバー攻撃者がその戦術を絶えず進化させるにつれて、現代のDDoSキャンペーンは、多くの場合、複数の種類のサービス拒否攻撃が同時に展開されることを含み、防御努力をさらに複雑にしています。

その結果、組織はDDoS攻撃のさまざまな形態、それらが悪用する体系的な脆弱性、およびそれらが引き起こす可能性のある潜在的損害を理解する必要があります。これらの側面を理解することで、組織は緩和策を優先し、リソースを効果的に割り当て、攻撃に直面した場合でもサービスの継続性を確保できます。

参考になる関連記事:

• DDoS攻撃とは何ですか？
• DDoS攻撃を防ぐ方法
• DDoS攻撃はどのように機能しますか？
• DDoS攻撃の緩和 – CDNetworksガイド

DDoS攻撃の3つの主な種類

以下のセクションでは、DDoS攻撃の3つの主要なタイプ、すなわち ボリュメトリック型、プロトコル型、アプリケーション層DDoS攻撃について説明します。

1. ボリュメトリックDDoS攻撃

ボリュメトリックDDoS攻撃は、大量のトラフィックでターゲットを氾濫させることで、ターゲットの利用可能な帯域幅を飽和させることを目的としています。ボリュメトリックDDoS攻撃はプロトコルの悪用に依存せず、代わりに純粋な規模でネットワークインフラストラクチャを圧倒します。ユーザーデータグラムプロトコル（UDP）フラッドやインターネット制御メッセージプロトコル（ICMP）フラッドは、ボリュメトリック攻撃の一般的な形態であり、DNS増幅攻撃はUDPフラッドのよく知られた変種です。これらの攻撃は、ネットワークの混雑や接続されたサービスへの二次的影響などの二次効果を引き起こす可能性もあります。

UDPフラッド

UDPフラッドは、大量のユーザーデータグラムプロトコル（UDP）パケットで圧倒することで、システム、サーバー、または帯域幅を利用不能にしようとします。UDPはハンドシェイクや整合性チェックを必要としないコネクションレス型プロトコルであるため、攻撃者は比較的少ないリソースで大量のパケットを使用してターゲットを簡単に圧倒できます。これにより、UDPフラッドはネットワークまたはサーバーの容量を枯渇させるのに特に効果的です。攻撃者はUDP形式をさらに悪用して整合性チェックをスキップし、増幅および反射攻撃を生成できます。

顕著な例はDNS増幅であり、被害者の偽装されたIPアドレスを持つ小さなクエリが、オープンDNSサーバーからはるかに大きな応答を引き起こし、攻撃トラフィックを増幅して不均衡な力でターゲットを圧倒します。この種の増幅は、攻撃者がボットネット内のデバイスの数を増やすことなくその影響を増幅できる方法を強調し、ボリュメトリック攻撃の効率性を浮き彫りにしています。

ICMPフラッド

ICMPフラッドは、通常ネットワーク診断とエラー報告に使用されるICMPをターゲットにします。ICMP攻撃では、攻撃者は偽装されたIPアドレスを持つエコー要求（ping）パケットを大量に送信することでシステムを圧倒します。これらのリクエストを処理しエコー応答を生成することを強制されたターゲットネットワークは、パフォーマンスが低下するかサービスが利用不能になるまで、CPU、メモリ、および帯域幅を消費します。ICMPトラフィックは一般的に正当な目的で使用されるため、悪意のあるフラッドと通常の診断活動を区別することは困難であり、ICMPフラッドは実行が簡単でありながら非常に破壊的です。

2. プロトコルDDoS攻撃

プロトコルDDoS攻撃は、TCP、HTTP、またはSSL/TLSなどのネットワークプロトコルが接続とセッションを管理する方法の脆弱性を悪用します。不完全なリクエストを送信したり、ハンドシェイクを遅らせたり、セッション状態を操作したりすることで、攻撃者はサーバーに無期限にリソースを割り当てることを強制し、最終的にサービス中断を引き起こします。プロトコルDDoS攻撃は、比較的最小限の攻撃トラフィックで重大な混乱を引き起こすため、ネットワークとアプリケーションの容量を効率的に枯渇させるための好ましい選択肢であり続けています。プロトコル攻撃の一般的なタイプには以下が含まれます：

SYNフラッド

SYNフラッド攻撃は、プロトコルDDoS攻撃の最も一般的なタイプの一つです。これは、クライアントが接続を開始するためにSYNパケットを送信するTCPハンドシェイクプロセスを悪用します。攻撃者は大量のSYNリクエストを送信しますが、最終的なACKでハンドシェイクを完了することはありません。その結果、ターゲットサーバーはこれらの半開きセッションをアクティブに保ち、正当なトラフィックを処理できなくなるまでサーバーリソースを枯渇させます。

TCPフラッド

TCPフラッドでは、攻撃者は有効または不正な形式の大量のTCPパケットをターゲットに直接送信することで、Webサーバーを圧倒します。不完全なハンドシェイクを悪用するSYNフラッドとは異なり、TCPフラッドは、サーバーにすべての着信リクエストを処理することを強制する絶え間ない悪意のあるトラフィックでサーバーを圧倒します。この容赦ない処理は、CPU、メモリ、帯域幅などのサーバーリソースを急速に枯渇させ、最終的にサーバーのパフォーマンスを低下させるか、サーバーを完全に利用不能にします。

Smurf攻撃

Smurf攻撃は、インターネットプロトコル（IP）の脆弱性を悪用してターゲットを圧倒する一種のDDoS攻撃です。Smurf攻撃では、攻撃者が大量のインターネット制御メッセージプロトコル（ICMP）エコー要求（ping）パケットをIPブロードキャストアドレスに送信します。

各パケットには、意図された被害者のIPアドレスに設定された偽装された送信元IPアドレスがあります。ブロードキャストネットワークは、すべてのデバイスから応答を被害者に送り返すことで攻撃を増幅し、ターゲットのネットワークまたはデバイスに過負荷をかける可能性のあるトラフィックの洪水を作り出します。

IPフラグメンテーション攻撃

IPフラグメンテーション攻撃は、ネットワーク間でパケットをルーティングするために使用されるIPプロトコルをターゲットにします。IPフラグメンテーション攻撃では、攻撃者が故意に特別に細工された断片化パケットをターゲットシステムまたはネットワークに送信します。これらの異常なフラグメントは、ターゲットシステムまたはネットワークに元のパケットを再構築するために過剰なリソースを使用することを強制し、リソース枯渇とネットワークパフォーマンスの低下を引き起こす可能性があります。

3. アプリケーション層DDoS攻撃

アプリケーション層DDoS攻撃（レイヤー7）は、OSIモデルの最上位層をターゲットにし、電子メール、Webブラウジング、ファイル転送、データベースアクセス、およびその他のネットワークアプリケーションなどのサービスを含みます。帯域幅またはプロトコルの弱点を狙う下位層の攻撃とは異なり、これらは一見正当なリクエストでアプリケーション自体を圧倒することでターゲットにし、検出を困難にします。
アプリケーション層はユーザーと直接インターフェースするため、ここでの混乱はユーザーエクスペリエンス、信頼、および収益流に迅速に影響を与える可能性があります。アプリケーション層は、エンドユーザーにサービスを提供する上でのその重要な役割 given そのため、DDoS攻撃の主要な標的となりつつあります。アプリケーション層DDoS攻撃の一般的なタイプには以下が含まれます：

Slowloris

HTTPスロー攻撃（Slowloris攻撃としても知られる）は、HTTPプロトコルの脆弱性を悪用してWebサーバーをターゲットにします。この攻撃は、大量の不完全なHTTPリクエストを送信し、それらを可能な限り長く開いたままにすることで機能し、サーバーが他の正当なトラフィックを処理するのを防ぎます。

HTTPフラッド攻撃

HTTPフラッド攻撃は、Webサーバーまたはアプリケーションをターゲットにし、高容量のHTTPリクエストでそれらを氾濫させてサーバーを圧倒し、正当なユーザーが利用できないようにする一種のサイバー攻撃です。悪意のあるトラフィックの高容量は、CPU、メモリ、ネットワーク帯域幅などのサーバーのリソースを枯渇させ、サーバーの速度低下またはクラッシュを引き起こす可能性があります。これらの攻撃は多くの場合、正当なユーザーの行動を模倣するため、検出が複雑になり、正常なトラフィックと悪意のあるトラフィックを区別できる高度な緩和戦略を必要とします。

新興または高度な種類のDDoS攻撃

DDoS攻撃が進化し続けるにつれて、攻撃者は単一ベクトルの洪水への依存を減らし、異なる弱点を同時にターゲットにする多層戦略にますます依存しています。

新興の種類のDDoS攻撃は、敵対者がより高度な技術、規模、および持続性に向かってシフトしている方法を示しています。それらはまた、混乱を最大化するために複数のベクトルを組み合わせることが多く、組織が適応型の緩和戦略を採用することを要求します。

マルチベクトル攻撃

現代のサイバー攻撃における最も顕著な傾向の一つは、敵対者がボリュメトリック洪水、プロトコルの悪用、アプリケーション層の混乱などの技術を組み合わせる、マルチベクトル攻撃の増加する普及です。これらの方法は順次または並行して開始できるため、防御者が悪意のあるトラフィックを正常なパターンから区別することがより困難になります。

防御者が重複する戦術を管理することを強制することで、攻撃は正当なトラフィックを混乱させ、サービスの可用性を低下させる可能性を大幅に増加させます。そのような攻撃はまた、リアルタイムのトラフィック監視を複雑にし、緩和決定をよりリソース集約的にします。

ボットネット駆動型攻撃

ボットネットは大規模なDDoS攻撃の基盤であり続けていますが、これらのネットワークの構成は変化しています。従来のIoTボットネットが運用を続ける中、攻撃者はますます仮想プライベートサーバー（VPS）およびその他のクラウドベースのリソースを活用して、より強力な攻撃を生成しています。クラウドベースのボットネットはより高いスループットとより短いスピンアップ時間を提供し、大量の悪意のあるリクエストが集中した力でターゲットサーバーを攻撃することを可能にします。

分散されたマシンの膨大な数とクラウド規模の容量を組み合わせることで、そのようなボットネット駆動型攻撃は、従来のサービス拒否試行よりもはるかに長くターゲットサーバーに圧力を維持できます。

アプリケーション固有の悪用

アプリケーション層ベクトルはますます正確になり、APIや特定のプロトコル機能さえもターゲットにしています。顕著な例はHTTP/2 のラピッドリセット脆弱性であり、プロトコルのストリーム多重化とRST_STREAM機能を悪用します。

多数のストリームを迅速に開閉することで、攻撃者はターゲットサーバーにCPUとメモリを繰り返し割り当てることを強制し、重大な負荷を作り出し可用性を低下させます。並行して、リクエストが意図的に接続を開いたままにするのに十分な速度で滴下されるゆっくりとした攻撃が効果的であり続けています。

ゆっくりとした攻撃は攻撃者から比較的少ないリソースしか必要としませんが、重要なネットワークリソースを占有し、正当なトラフィックをブロックすることができ、現代と伝統的な両方の方法がアプリケーション層での防御に挑戦し続けていることを示しています。

DDoS攻撃による損害

DDoS攻撃の影響は、一時的なサービス中断をはるかに超えて拡大します。それはビジネスの継続性とユーザーの信頼に直接影響を与えます。Webサーバーと重要なネットワークリソースを大量の悪意のあるトラフィックで圧倒することにより、攻撃者はシステムが正当なユーザーにサービスを提供できないようにします。これにより、サービス停止、パフォーマンスの低下、および顧客セッションの放棄が生じます。

しかし、影響は技術レベルで止まりません。長引くまたは繰り返される中断は、収益機会の損失、運用コストの上昇、およびブランド評判への長期的な損害を含む財務リスクに直接変換されます。したがって、ダウンタイムの財務的影響は、現代の組織にとって重要な懸念事項となっています。

ITICによる調査によると、ほとんどの企業は、ダウンタイムのコストが時間あたり30万ドルを超えると報告しています。一部の組織、特に高度に重要なシステムを持つ組織では、損失は時間あたり数百万ドルに急速にエスカレートする可能性があります。継続的なデジタルサービスに依存する組織では、短い中断でさえ不均衡なリスクをもたらす可能性があります。このリスクは、攻撃者がその方法を絶えず進化させているという事実によって増幅されます。

DDoS攻撃の高度化は、別次元の圧力を加えます。ITチームに負担をかけることを超えて、これらのインシデントは戦略的プロジェクトからリソースを吸い上げ、組織を防御と回復のコストのかかるサイクルに閉じ込めます。そのような攻撃中にサービスを実行し続ける需要は、運営上のストレスを し、対応における人的ミスの可能性を高めます。

このリソースの消耗、増大するコスト、および人的要因の組み合わせは、積極的防御の緊急性を強調し、堅牢な緩和戦略をオプションではなく必需品にしています。

DDoS緩和

効果的なDDoS緩和は、ネットワークトラフィックの早期検出と継続的な可視性から始まります。組織は、トラフィックの急激な急増、類似した属性を持つクライアントからの繰り返しリクエスト、および異常な負荷のその他の指標などの異常を監視する必要があります。積極的なトラフィック監視と分析は、脅威がエスカレートする前にそれらを識別し、正当なユーザーが影響を受けないようにするために重要です。

回復力を強化するために、多くの組織はCDNetworksのFlood Shield 2.0などのクラウドベースのDDoS保護プラットフォームを利用します。

オリジンインフラストラクチャと公共のインターネットの間で動作するFlood Shield 2.0は、レート制限、ポート制限、脅威インテリジェンスを含む多層防御を通じてリアルタイム緩和を提供します。これらの機能は、すべての主要な攻撃ベクトルにわたる堅牢な保護を提供し、大規模なDDoS攻撃中でもリスクを軽減しサービスの可用性を確保します。

無料トライアルに登録するか、製品パンフレットをお読みいただき、当社のDDoS緩和プラットフォームの詳細をご覧ください。