DDoS攻撃(無料翻訳では分散型サービス拒否と呼ばれます:分散型サービス拒否)は、最も一般的なハッカー攻撃の1つであり、コンピューターシステムまたはネットワークサービスに向けられ、利用可能な無料のリソースをすべて占有するように設計されています。インターネット上のサービス全体(たとえば、Webサイトやホストされている電子メール)が機能しないようにします。
DDoS攻撃とは何ですか?
DDoS攻撃は、同時に多くの場所から(多くのコンピューターから)攻撃を実行することで構成されます。このような攻撃は主に、制御が行われたコンピューターから、特別なソフトウェア(ボットやトロイの木馬など)を使用して実行されます。つまり、これらのコンピューターの所有者は、ネットワークに接続されているコンピューター、ラップトップ、またはその他のデバイスが、知らないうちにDDoS攻撃を実行するために使用される可能性があることさえ知らない可能性があります。
DDoS攻撃は、侵害されたすべてのコンピューターが被害者のWebサービスまたはシステムへの攻撃を同時に開始したときに開始されます。その後、DDoS攻撃の標的は、サービスを使用するための誤った試みで溢れかえります(たとえば、Webサイトへの呼び出しやその他の要求の試みである可能性があります)。
DDoS攻撃がサービスの中断を引き起こすのはなぜですか?
サービスを使用しようとするたびに(たとえば、Webサイトを呼び出す試み)、攻撃されたコンピューターは、この要求を処理するための適切なリソース(プロセッサ、メモリ、ネットワーク帯域幅など)を割り当てる必要があります。これにより、このような要求が非常に多くなると、利用可能なリソースの枯渇、その結果、操作の中断、さらには攻撃されたシステムの停止。
DDoS攻撃から身を守る方法は?
DDoS攻撃は現在、ネットワークで活動している企業にとって最も可能性の高い脅威であり、その結果はIT領域だけにとどまらず、実際の測定可能な財務およびイメージの損失も引き起こします。このタイプの攻撃は絶えず進化し、ますます正確になっています。それらの目的は、ネットワークインフラストラクチャまたはインターネット接続の利用可能なすべてのリソースを消費することです。
インターネット上でDDoS攻撃から保護するためのオファーを見つけることができます。ほとんどの場合、DDoS攻撃に対するこのような保護のアクティブ化は、DNSレコードを変更することによって行われます。これにより、すべてのHTTP / HTTPSトラフィックがフィルタリングレイヤーを通過し、各パケットとクエリの詳細な検査が実行されます。
次に、高度なアルゴリズムと適切に定義されたルールにより、誤ったパケットと攻撃の試みが除外されるため、純粋なトラフィックのみがサーバーに送信されます。 DDoS攻撃から保護する企業は、世界のさまざまな場所に拠点を置いています。そのおかげで、ソースでの攻撃を効果的にブロックできるだけでなく、最寄りのデータセンターから静的データを提供できるため、ページの読み込み時間を短縮できます。
DDoS攻撃と恐喝は犯罪です
DDoS攻撃の脅威は、企業を脅迫するために使用されることがあります。オークションサイト、証券会社など。取引システムの中断は、会社とそのクライアントの直接的な経済的損失につながります。このような場合、攻撃の背後にいる人々は、攻撃をキャンセルまたは停止するために身代金を要求します。そのような恐喝は犯罪です。
DoS / DDoS攻撃から身を守る方法
簡単に言うと、DoS攻撃は、コンピュータシステムを正当なユーザーにサービスを提供したり、意図した機能を正しく実行したりできない状態にすることを目的とした悪意のあるアクティビティの一種です。ソフトウェア(ソフトウェア)のエラー、またはネットワークチャネルまたはシステム全体の過度の負荷は、通常、「サービス拒否」状態につながります。その結果、ソフトウェアまたはマシンのオペレーティングシステム全体が「クラッシュ」するか、「ループ」状態になります。そして、これはダウンタイム、訪問者/顧客の損失、および損失を脅かします。
DoS攻撃の構造
DoS攻撃は、ローカル攻撃とリモート攻撃に分類されます。ローカルエクスプロイトには、さまざまなエクスプロイト、フォーク爆弾、および毎回100万個のファイルを開くプログラム、またはメモリとプロセッサリソースを消費する循環アルゴリズムを実行するプログラムが含まれます。私たちはこれらすべてにこだわるつもりはありません。リモートDoS攻撃を詳しく見てみましょう。それらは2つのタイプに分けられます:
ソフトウェアのバグをリモートで悪用して動作不能にする。
洪水-被害者のアドレスに無意味な(あまり意味のない)パケットを大量に送信します。フラッディングターゲットは、通信チャネルまたはマシンリソースにすることができます。最初のケースでは、パケットストリームが帯域幅全体を占有し、攻撃されたマシンに正当な要求を処理する機能を提供しません。 2つ目は、複雑でリソースを大量に消費する操作を実行するサービスへの繰り返しの非常に頻繁な呼び出しによって、マシンのリソースがキャプチャされます。これは、たとえば、Webサーバーのアクティブなコンポーネント(スクリプト)の1つへの長い呼び出しである可能性があります。サーバーは、攻撃者の要求の処理にマシンのすべてのリソースを費やし、ユーザーは待機する必要があります。
従来のバージョン(1人の攻撃者-1人の犠牲者)では、最初のタイプの攻撃のみが有効になりました。古典的な洪水は役に立たない。今日のサーバーの帯域幅、コンピューティング能力のレベル、およびソフトウェアでのさまざまなアンチDoS技術の広範な使用(たとえば、同じクライアントが同じアクションを繰り返し実行するときの遅延)により、攻撃者は迷惑な蚊に変わります。何も与えることができず、ダメージもありませんでした。
しかし、これらの蚊が数百、数千、さらには数十万もいる場合は、サーバーを肩甲骨に簡単に置くことができます。群衆は、人生だけでなく、コンピューターの世界でもひどい力です。分散型サービス拒否(DDoS)攻撃は、通常、多くのゾンビ化されたホストを使用して実行され、最も過酷なサーバーでさえ外界から遮断する可能性があります。
制御方法
ほとんどのDDoS攻撃の危険性は、その絶対的な透明性と「正常性」にあります。結局のところ、ソフトウェアエラーを常に修正できるのであれば、リソースの完全な消費はほとんど一般的なことです。多くの管理者は、マシンリソース(帯域幅)が不足したり、Webサイトがスラッシュドット効果を受けたりしたときに直面します(マイケルジャクソンの死の最初のニュースから数分以内にtwitter.comが利用できなくなりました)。そして、すべての人のトラフィックとリソースを連続して削減すると、DDoSから救われますが、顧客のかなりの半分を失うことになります。
この状況から抜け出す方法は事実上ありませんが、ルーター、ファイアウォールを適切に構成し、ネットワークトラフィックの異常を継続的に分析することで、DDoS攻撃の結果とその有効性を大幅に減らすことができます。記事の次の部分では、以下を見ていきます。
初期のDDoS攻撃を認識する方法。
特定の種類のDDoS攻撃に対処する方法。
DoS攻撃の準備をし、その効果を減らすのに役立つ一般的なアドバイス。
最後に、DDoS攻撃が始まったときに何をすべきかという質問に対する答えが与えられます。
洪水攻撃と戦う
したがって、DoS / DDoS攻撃には2つのタイプがあり、最も一般的なものは、フラッディング、つまり被害者を膨大な数のパケットでフラッディングするという考えに基づいています。フラッドは異なります:ICMPフラッド、SYNフラッド、UDPフラッド、およびHTTPフラッド。最新のDoSボットは、これらすべてのタイプの攻撃を同時に使用できるため、事前にそれぞれに対する適切な保護に注意する必要があります。最も一般的なタイプの攻撃から防御する方法の例。
HTTPフラッド
今日最も普及しているフラッディング方法の1つ。これは、Webサーバーをロードして他のすべての要求を処理できないようにするために、ポート80でHTTPGETメッセージを際限なく送信することに基づいています。多くの場合、フラッドターゲットはWebサーバーのルートではなく、リソースを大量に消費するタスクを実行したり、データベースを操作したりするスクリプトの1つです。いずれにせよ、Webサーバーログの異常に速い成長は、攻撃が始まったことの指標として機能します。
HTTPフラッディングに対処する方法には、攻撃の影響を軽減するためにWebサーバーとデータベースを調整することや、さまざまな手法を使用してDoSボットを除外することが含まれます。まず、データベースへの接続の最大数を同時に増やす必要があります。次に、Apache Webサーバーの前に軽量で効率的なnginxをインストールします。これにより、リクエストがキャッシュされ、静的に処理されます。これは、DoS攻撃の影響を軽減するだけでなく、サーバーが膨大な負荷に耐えられるようにするための必須のソリューションです。
必要に応じて、1つのアドレスからの同時接続の数を制限するnginxモジュールを使用できます。リソースを大量に消費するスクリプトは、遅延、「クリックしてください」ボタン、Cookieの設定、および「人類」をチェックすることを目的としたその他のトリックを使用して、ボットから保護できます。
普遍的なヒント
システムでのDDoSストームの崩壊中に絶望的な状況に陥らないようにするには、そのような状況に備えて慎重に準備する必要があります。
外部ネットワークに直接アクセスできるすべてのサーバーは、すばやく簡単にリモートで再起動できるように準備する必要があります。大きなプラスは、メインチャネルが詰まった場合にサーバーにアクセスできる、2番目の管理ネットワークインターフェイスの存在です。
サーバーで使用されるソフトウェアは常に最新である必要があります。すべての穴にパッチが適用され、更新がインストールされます(ブートのように単純で、多くの人が従わないアドバイス)。これにより、サービスのバグを悪用するDoS攻撃からユーザーを保護できます。
管理目的で使用することを目的としたすべてのリスニングネットワークサービスは、それらにアクセスしてはならない人からファイアウォールによって隠されている必要があります。そうすると、攻撃者はDoS攻撃やブルートフォース攻撃にそれらを使用できなくなります。
サーバー(最寄りのルーター)へのアプローチでは、トラフィック分析システムをインストールする必要があります。これにより、進行中の攻撃についてタイムリーに学習し、それを防ぐためのタイムリーな対策を講じることができます。
すべての手法は、マシンのリソースを使い果たすことを目的としたDDoS攻撃の効果を減らすことを目的としていることに注意してください。水路を破片で詰まらせる洪水から身を守ることはほとんど不可能であり、唯一の正しい、しかし常に実行可能な戦闘方法は「意味の攻撃を奪う」ことです。小さなボットネットからのトラフィックを簡単に許可できる非常に広いチャネルを自由に使用できる場合は、サーバーが攻撃の90%から保護されていることを考慮してください。
より洗練された防御があります。これは、さまざまなバックボーンに接続された多くの冗長サーバーを含む分散コンピューターネットワークの編成に基づいています。チャネルの計算能力または帯域幅がなくなると、すべての新しいクライアントは別のサーバーにリダイレクトされるか、徐々にリダイレクトされます。 「」
別の多かれ少なかれ効果的な解決策は、ハードウェアシステムを購入することです。連携して動作することで、初期の攻撃を抑制することができますが、学習と状態分析に基づく他のほとんどのソリューションと同様に、失敗します。
始まったようです。何をすべきか?
攻撃がすぐに開始される前に、ボットは「ウォームアップ」し、攻撃されたマシンへのパケットの流れを徐々に増やします。その瞬間を捉えて行動を起こすことが重要です。これには、外部ネットワークに接続されているルーターを常に監視することが役立ちます。被害者のサーバーでは、利用可能な手段を使用して攻撃の開始を判断できます。