プロトコル自体の仕様を悪用した攻撃の中で,「DDoS攻撃」は最も実害が大きいとされる。DDoSは多数の攻撃元から大量のパケットを送信することで,特定のサービス──主にWebサーバーを停止状態に追い込む。
DDoS攻撃は,前述のDNSキャッシュ・ポイズニングやARPスプーフィングなどと異なり,特定のシステムやプロトコルに依存するものではないため,攻撃手法も複数存在する。
最近のDDoS攻撃は,マルウエアなどその他のセキュリティの脅威と同じく,脅迫などによる金銭の取得を狙った“プロ”によって実行されることが多い。「企業のWebサイトにDDoS攻撃をしかけ,攻撃停止の見返りに金銭を要求する事件が増えている」(ラックサイバーリスク総合研究所先端技術開発部の新井悠部長)。主な標的は電子商取引サイトなどだ。ラックへの相談件数も増加し,ここ1年間で2けた台の事例があったという。
攻撃パターンは 2通り,回線やサーバーが対象
DDoSの攻撃手法は様々だが,(1)ネットワークの回線の帯域を狙う攻撃,(2)サーバーを狙う攻撃──の 2通りのパターンがある(図1)。
まず(1)では,攻撃元からサイズの大きなパケットを大量に送信して,ネットワークの帯域を埋め尽くしてしまう。こうした攻撃では,インターネット上で,データをやりとりするIPの仕組みをそのまま悪用する。データを載せたIPパケットは,インターネット上の多数のルーターによって,バケツ・リレーのように運ばれる。この時,ルーターはIPパケットのあて先IPアドレスを見て,次にどこにIPパケットを送ればいいかを判断する。ただし,送信元のIPアドレスには特に注意を払わない。攻撃者はこのIPの仕組みを悪用して,不正でサイズの大きいIPパケットを作成し,特定のあて先に大量に送り出す。
その結果,攻撃対象となるサーバーに至るまでのネットワークがパンクし,一般ユーザーがアクセスできない状態に陥ってしまう。悪用するIPパケットの種類によって,「UDP Flood」,「ICMP Flood」(Ping Flood)などと呼ばれる。
(2)では対象のサーバーに大量のパケットを送り付けるなどしてサービスを麻痺させる。古典的な例としては,TCPのコネクション開始要求に当たるSYNパケットだけを大量に送る「TCP SYN Flood」がある。攻撃を受けたサーバーは,接続要求ごとに応答を返そうとするが,一度に大量のSYNパケットが殺到すると,処理しきれずにダウンしてしまう。
その他,「大量のTCPコネクションを確立させるだけで後は何もしない」攻撃(TCP Connection Flood)もある。この場合,ターゲットのサーバーは接続を維持し続けるためにリソースを食いつぶしてしまう。TCPコネクション確立後に繰り返しHTTP GETコマンドを送り,サーバーにコンテンツ送信の負荷をかける「HTTP GET Flood」など,多くの手法がある。
困難な正常アクセスとの区別
DDoSのやっかいな点は,一見,正常な通信との見分けがつきにくいことだ。そのため,予防のための特効薬はない。
例えば攻撃元が1カ所なら,ファイアウォールでIPアドレスを指定するなどして攻撃をしゃ断できそうである。しかし,現実のDDoS攻撃には多数のボット感染パソコンが利用されていると言われる。大量の感染パソコン(ボットネット)から少しずつ攻撃パケットを送り出されたら,一般のユーザーから正常なアクセスが集中している状態と区別がつかない。
それでも,(2)の攻撃に関しては,サーバーの手前にDDoS対策機能を備えたファイアウォールや専用装置などを導入することで対処できるケースがある。サーバーのリソースを不当に消費させるパケットを廃棄したり,殺到するトラフィックを絞ったりする。
一方,(1)の攻撃に対しては,インターネットの上流に位置するネットワークで対処する必要がある。ISPの中にはDDoS対策サービスをメニューとして用意するところがある。その種のサービスを持っているISPに加入するといった手段が考えられる。
