テクノロジー解説

DDoS攻撃

DDoS(Distributed Denial of Service)攻撃

サーバの負荷や通量を増加させ、サーバのサービスを低下させることを目的とした DoS 攻撃。これまで多くの有名サーバが被害に遭っており、主にいやがらせの手段として使われます。さらにこの攻撃を悪質化させ、攻撃元を分散させたものが DDoS 攻撃です。DDoS 攻撃は、もっとも防御が難しい攻撃手段と言われています。

DoS 攻撃

 「DoS」とは、Denial of Service の略。そのまま訳すと「サービスの拒否」となりますが、「サービスを拒否する状態にする」、「本来の働きができない状態にする」ための攻撃と考えると分かりやすいでしょう。その攻撃方法は、時刻をしめし合わせ、攻撃対象となるサーバに多人数が一斉にリクエストを送りつけるものや、放置されている脆弱性を悪用して動作中のプログラムを停止させたりするものなどがあります。主な攻撃方法をいくつか紹介します。

フラッド攻撃
大量の接続要求を送信することにより、他の接続要求を受けられなくする攻撃。有名なものに「SYN フラッド攻撃」があります。SYN パケットは同期のために使用され、1つのパケットサイズは数バイトの非常に小さなものであり、ネットワークに大きな負荷を与えるものではありませんが、サーバには通常の接続要求処理が必要となります。これを大量に送ることでサーバの負荷を増加させ、サービス不能な状態に陥らせます。

Smurf 攻撃
ブロードキャストアドレス宛てに Ping パケットを送信し、サブネット上のすべてのホストが一斉に応答を返すことで、回線をパンクさせます。

HTTP攻撃
Web ブラウザの更新ボタンを連打し、Webサーバに大量の接続要求を送信します。Windows では「F5」ボタンでページの更新が行われるため、「F5 攻撃」とも呼ばれます。

 DoS 攻撃は、攻撃元を特定することさえできれば、ファイアウォールやアクセスリストの設定で、攻撃を防ぐことができます。もちろん、ソフトウェアの脆弱性が公表されたら、すぐに修正パッチを適用するといった管理体制も重要です。

DDoS攻撃

 DoS 攻撃の特徴は、攻撃元を特定できることです。攻撃元を特定できない DoS 攻撃を「DDoS(Distributed Denial of Service)攻撃」といって区別しています。DDoS 攻撃の場合、脆弱性をかかえたサイトに対して、ワームや不正アクセスを使ってツールを忍び込ませておき、時限爆弾のように特定の時刻に標的となるサーバに DoS 攻撃を行います。第三者のサイトを踏み台にするため、大元の攻撃者を特定することができず、しかも次々と攻撃元が変わるためにファイアウォールやアクセスリストといった手段では、攻撃を防ぐことができません。

 これまで、DDoS 攻撃の標的となるのは有名サイトである場合が多かったのですが、最近では、DDoS 攻撃を脅迫に利用するケースが出てきているといいます。最新の脅迫系 DDoS 攻撃の実態、およびシスコが提供するソリューションの効果については、「シスコ、ラック社共催 最新の脅迫系 DDoS 攻撃の実態と対策セミナー」で詳しく報告されています。

DDoS攻撃軽減ソリューション

 DDoS 攻撃は、攻撃に使用するパケット自身はサイズの小さなものが多いのですが、その数が多ければ 100~300Mbps、さらに組織的な攻撃となれば 1Gbps 程度のトラフィックを発生させることができます。多くの企業の契約回線が 100Mbps 程度という現状では、DoS 攻撃によって簡単に回線をパンク状態にすることができます。これは、ファイアウォールや侵入検出といった従来の検出手段では防ぎようがありません。
 シスコは、DDoS 攻撃に対抗するため、攻撃を検出するだけでなく、その影響を軽減するソリューションを提供しています。ここには、通常の振る舞いとは異なる状態を検出するアノーマリ検出のテクノロジーが取り込まれており、適正なトラフィックと不正なトラフィックを正確に識別し、適正なトラフィックには影響を与えることなく、不正なトラフィックを排除します。
 シスコの DDoS 攻撃軽減ソリューションでは、検出、ルート変更、検証、転送によって、総合的な保護機能を提供します。具体的な手順は次のとおりです。


※ DDoS 攻撃軽減ソリューション関連製品は、既に生産/販売を終了しております。

お問い合わせ