プロトコル DDoS 攻撃

用語集 プロトコル DDoS 攻撃

プロトコル DDoS 攻撃

プロトコル型DDoS攻撃とは

プロトコル型DDoS攻撃とは、インターネット上でデバイス同士が通信するルールを狙った 分散型サービス拒否(DDoS)攻撃 の一種です。

この攻撃は、大量のデータを使うのではなく、偽造されたり壊れていたり不完全なパケットを送信することで、標的のシステムを混乱させ、無駄な処理を強制します。その結果、正当な通信が遅延したり遮断されたりします。

プロトコル型DDoS攻撃は、ネットワークの下層レイヤー(ルーター、防火壁、OSなど)を狙います。これらのシステムが接続を処理する仕組みを悪用するため、膨大なリクエスト数がなくても大きな被害を与えることができます。うまく計画された攻撃であれば、ボリューメトリック攻撃ほどのトラフィックを使わずに深刻な影響を引き起こせます。

攻撃者は、カメラやルーターなどのIoTデバイスを使ったボットネットを利用します。これらのデバイスはセキュリティが弱く常時オンラインのため、乗っ取りが容易です。組み合わせて使うことで、強力で防御が難しい攻撃を実行できます。

他のサービス拒否攻撃と同様に、目的は正規ユーザーがサービスを利用できなくすることです。
対象が企業、公共サービス、ゲームサイトのいずれであっても、結果はダウンタイム、収益損失、そして評判の低下です。

プロトコル型DDoS攻撃 vs 他のDDoS攻撃タイプ

DDoS攻撃の種類 攻撃の仕組み 主な攻撃ベクトルと例 正規ユーザーへの影響
ボリューメトリック攻撃(Volumetric Attack) 帯域幅の飽和を利用し、膨大なトラフィックで標的を圧倒します。小さなリクエストを巨大なレスポンスに変換する増幅手法を使用。 UDPフラッド、DNS増幅、NTP増幅などの攻撃が含まれます。IoTボットネットによって実行され、数百万のパケットを送信します。 ネットワーク帯域が悪意あるトラフィックで埋まり、正規トラフィックが通れなくなります。ウェブサイトは遅延またはアクセス不能になります。
プロトコル型攻撃(Protocol DDoS Attack) デバイスが接続やパケットを処理する仕組みを悪用。異常または不完全なリクエストでCPU、メモリ、ネットワークリソースを消耗させます。 SYNフラッド、Ping of Death、ICMPフラッド、Fraggle攻撃などが代表例です。低レベル通信のルールを操作してシステムを疲弊させます。 サーバーやファイアウォールが偽セッション処理に追われ、正規ユーザーはタイムアウト、遅延、完全なサービス停止に直面します。
アプリケーション層攻撃(Application Layer Attack) ウェブサイト、アプリ、APIなど上位レイヤーを標的とします。見た目は通常の大量リクエストを送信し、アプリケーションを過負荷にします。 HTTPフラッド、ログインリクエストフラッド、検索リクエスト過負荷など。正規トラフィックに似せた攻撃のため、フィルタリングが困難です。 少量の悪意あるトラフィックでもサーバーを圧倒できます。正規リクエストが偽のものと混ざり、ユーザーがサービスにアクセスできなくなります。

プロトコル型DDoS攻撃の例

以下は、プロトコルの脆弱性を悪用する代表的なDDoS攻撃の例です。

SYNフラッド攻撃

TCPの3ウェイハンドシェイクを標的にした攻撃です。攻撃者はSYNパケットを大量に送信しますが、接続を完了させません。サーバーは待機状態を維持し、メモリとCPUを消耗します。最も古典的かつ現在でも一般的なDoS攻撃の一つです。

ICMPフラッド攻撃

Pingフラッドとも呼ばれ、被害者に大量のICMP Echoリクエストを送りつけます。ネットワークはそれぞれに応答する必要があり、帯域を消費して全体の通信を遅延させます。システム内蔵の通信機能を利用する点が特徴です。

Ping of Death攻撃

異常に大きなPingパケットを使ってIPプロトコルのルールを破る攻撃です。標的が処理を試みると、システムがフリーズまたはクラッシュすることがあります。現在では多くのシステムで修正されていますが、異常パケットの危険性を示す例です。

Fraggle攻撃

Smurf攻撃に似ていますが、ICMPではなくUDP Echoリクエストを使用します。攻撃者はブロードキャストアドレスにトラフィックを送信し、ネットワーク内のすべてのデバイスが被害者に応答してトラフィックが倍増します。初期のDDoS攻撃の典型例です。

NTP増幅攻撃

公開NTPサーバーを悪用し、小さな偽リクエストを送信します。サーバーは被害者に対して数百倍の大きさの応答を返すため、少量の入力で膨大なトラフィックを生み出します。

DNS増幅攻撃

NTP増幅と同様に、オープンDNSリゾルバーを利用します。大きなレコードを要求する単純なクエリで巨大な応答を生成し、それが被害者に送られます。攻撃者はわずかな労力でギガビット級の攻撃トラフィックを作り出せます。

これらの例から、プロトコル型DDoS攻撃の危険性が分かります。少しの操作でも重要なサービスを麻痺させ、企業にダウンタイム、金銭的損失、信頼の損なわれる被害を与えます。

プロトコル攻撃の防御方法

プロトコル型DDoS攻撃を防ぐ には、事前の準備と迅速な対応が不可欠です。単一のツールでは十分ではありません。以下の対策が有効です。

  • 包括的なモニタリング:ネットワークトラフィックの異常パターンを監視します。半開状態のTCP接続の急増はSYNフラッドの兆候です。ログ分析で早期検知が可能です。
  • レート制限(Rate Limiting):ソースごとの秒間リクエスト数を制限します。洪水攻撃の影響を軽減できますが、正規トラフィックを誤って遮断しないよう慎重な調整が必要です。
  • セッションタイムアウト設定:不完全な接続を早期に切断するようサーバーを設定。SYNフラッドなどに有効です。
  • 侵入防止システム(IPS):悪意あるトラフィックを特定し、サーバーに到達する前に遮断します。ファイアウォールと併用することで効果的に異常パケットを除去できます。
  • 耐性のあるインフラ:スケーラブルなシステムを利用し、トラフィックの急増を吸収。クラウド構成で攻撃トラフィックを複数ノードに分散させることが有効です。
  • 緊急対応計画:攻撃発生時の対応手順を明確化。担当者、確認すべきシステム、復旧手順を事前に定めます。

これらの 対策 を組み合わせることで、多層的な防御を構築し、攻撃下でもサービスを継続できます。

CDNetworksによるプロトコル型DDoS防御

CDNetworksは、ネットワーク層およびトランスポート層において強力なプロトコル型DDoS防御を提供します。
プラットフォーム は、SYNフラッド、ICMPフラッド、その他のフラッディング攻撃など、プロトコルのルールを悪用する悪意あるトラフィックをブロックします。これにより、破損または不完全なリクエストからサーバーを保護し、正規トラフィックは遅延なく通過します。

この防御の基盤は、2800以上のグローバルPoP(ポイント・オブ・プレゼンス) を備えた世界規模のネットワークです。攻撃トラフィックを複数地域に分散し、単一サーバーへの過負荷を防ぎます。

主な特徴:

  • 20 Tbps以上の トラフィック洗浄能力:攻撃トラフィックをオリジンサーバーに到達する前に吸収・無害化。
  • レート制限:リクエスト数を制御し、突発的なトラフィック増加を防止。
  • 高度なフィルタリング:偽造・破損・プロトコル違反のパケットを遮断。
  • 24時間365日のセキュリティ監視:専門チームがリアルタイムでトラフィックを監視し、新しい攻撃手法に迅速に対応。

CDNetworksは、大規模な処理能力、高度な検出技術、常時対応体制を組み合わせることで、複雑で強力なプロトコル型DDoS攻撃下でも企業のオンラインサービスを守ります。

Learn More About ddos

もっと探る