近年、ロシアの多くの企業がDDoS攻撃の被害者になっています。オンラインサービスは、オンラインストア、メディア、金融機関など、ビジネスに不可欠です。 DDoS攻撃は人気を集めており、オンラインビジネスでは一般的になっています。
これらの攻撃を初めて使用する人のために、分散型サービス拒否攻撃に関する簡単な説明を用意しました。
DDoS攻撃の目的は、「ジャンク」リクエストでチャネルを過負荷にすることにより、しばらくの間オンラインリソースへのアクセスをブロックすることです。その結果、ビジネスで大きな財政的および評判の損失が発生します。 今日、誰でもDDoS攻撃を組織できるため、状況は悪化しています。コストが低く、検索サービスを使用して実行者の連絡先を見つけることができます。 このようなアクセシビリティとDDoS攻撃の組織化の容易さは、悪意を持ったほとんどすべての企業を危険にさらします。 被害者の数は、企業の地理的位置および活動地域によって異なります。 攻撃者が企業の情報リソースへのアクセスをユーザーから完全に奪うことができない場合でも、部分的に利用できないことも深刻な問題です。 多くの組織は依然として、それらを深刻な脅威とは考えていません。 同時に、サイトへのアクセス不能と失敗したトランザクションは氷山の一角にすぎません。 システムがハッキングされた場合、攻撃者が顧客データと機密情報を盗むと、DDoS攻撃によって評判が失われたり、既存の顧客が流出したり、提供されていないサービスに対する要求が発生したりします。
DDoS攻撃とはどういう意味ですか:
DoS攻撃(サービス拒否)-リソースまたはチャネルのサービス拒否を目的とした攻撃。
DDoS攻撃(分散型サービス拒否)-複数のソースから実行される複数のDoS攻撃。
DDoS攻撃は、大きく3つのグループに分類できます。
- チャネルへの攻撃-このカテゴリの攻撃は、帯域幅を飽和させることを目的としています。 数十万のボットが一般的に使用されています。
- プロトコルレベルの攻撃-このカテゴリは、さまざまなプロトコルの機器または脆弱性を制限することを目的としており、通常は数万のボットが使用されます
- アプリケーションレベル(7レベル)での攻撃-このような攻撃は、アプリケーションとオペレーティングシステムの脆弱性を狙っており、アプリケーションまたはOS全体の動作不能につながります。 何百ものボットが一般的に使用されています。
DDoS攻撃の主なタイプを検討してください。
ICMPフラッド(Smurf攻撃)。 その中で、攻撃者は偽のICMPパケットをブロードキャストアドレスに送信します。ブロードキャストアドレスでは、攻撃者のアドレスが被害者のアドレスに変更されます。 すべてのノードは、このping要求に対する応答を送信します。
UDPフラッド。 このタイプの攻撃では、UDPプロトコルが使用されます。 その特徴的な機能は、セッションを確立して応答を送信する必要がないことです。 ホストマシンのランダムポートに無数のパケットが到着し、特定のアプリケーションがポートでリッスンしているかどうかを常に確認し、エラーが発生した場合はICMP Destination Unreachableパケットを返します。 当然のことながら、このようなアクティビティはホストマシンのリソースを吸収し、アクセスできなくなります。
SYNフラッド。 このタイプの攻撃は、存在しないリターンアドレスでSYNパケットを送信することにより、多数の同時TCP接続を開始しようとする試みに基づいています。 応答としてACKパケットをアクセスできないアドレスに何度か送信しようとすると、ほとんどのオペレーティングシステムは未設定の接続をキューに入れます。 そして、n回目の試行後のみ、接続が閉じられます。 ACKパケットのストリームは非常に大きいため、キューはすぐにいっぱいになり、カーネルは新しい接続を開く試みを拒否します。
HTTPフラッド。 攻撃者は小さなhttpパケットを送信します。これにより、サーバーはより大きなパケットで応答するように強制されます。 したがって、攻撃者は被害者の帯域幅を飽和させ、サービス拒否を引き起こす可能性が非常に高くなります。
利益を伴うDDoS攻撃を反映。 この攻撃は、多くの重要なインターネットサービス、特にDNS(よく知られているドメインネームサービス)およびNTP(あまり知られていないネットワークタイムプロトコル)で積極的に使用されているネットワークプロトコルUDPに基づいていますが、今日ではストリーミングサービスを使用して実行されています。 この場合の最も重要なことは、「ハンドシェイク」がないことです。つまり、サービスは送信者のアドレスを「チェックしません」。 つまり、だれでも(IPアドレス)に代わってUDPパケットを送信できます。 したがって、攻撃者は(IPアドレスから)被害者に代わってUDPパケットをサービス(通常はDNSまたはNTP)に送信し、サービスは攻撃者のIPアドレスではなく被害者のIPアドレスに応答します。 そのため、攻撃の名前は「リフレクション」です。 しかし、DoS攻撃を成功させるにはそれだけでは不十分です。 名前には「ゲイン」という単語も含まれています。 この場合、DNSおよびNTPサービスには、攻撃者にとって便利な機能、つまり乗数があります。 これは次のとおりです。被害者に代わって攻撃者が1 kバイトのパケットをDNSまたはNTPサーバーに送信し、DNSまたはNTPサーバーが被害者のアドレスにN倍大きいパケットで応答します。 これは最初に言及された非常に強化です。 したがって、「強化された反射型DDoS攻撃」という名前は、この現象の技術的本質を正確に表しています。
遅いHTTP投稿。 この攻撃は、大きなHTTP POST要求を小さな部分(各1バイト)でサーバーに送信することから成ります。 標準によると、HTTPサーバーは(バイトサイズでコンテンツを受信した後)完全なデータ転送を待機する必要があり、タイムアウトによってのみ接続を閉じることができます。 したがって、このような遅い接続でのDDoS攻撃の場合、攻撃されたサーバーは膨大な数の接続を開き、リソースを壊滅的に消費します(主にシステムで開いているファイル記述子)。明らかにする。
遅いHTTPヘッダー。 スローHTTPポストメソッドと同様に、ポストリクエストの代わりにスローHTTPヘッダーのみが使用されます。 スローポスト攻撃と同様に、サーバーはヘッダーが終了するのを待ってから接続を閉じるため、多数のオープン接続が発生し、その結果サーバーが過負荷になります。このようなDDoS攻撃は、低速接続の通常のリクエストと区別するのが困難です
偽のGooglebot。 DDoS攻撃の新技術。 その主な機能は、Googlebotを装ったボットの使用です。これは、Webページの外観と更新を追跡して、検索エンジンのサイトをインデックスに登録するGoogle検索エンジンロボットです。
他にも多くの種類の攻撃があり、攻撃者の可能性は無限であるように思われます-何もしなければこの声明は真実です。 インターネットで作業している企業では、DDos攻撃から身を守る必要があります。 攻撃は競合よりも低コストであり、損失は防衛よりも高価であることを常に忘れないでください。
さまざまな方法でDDoS攻撃から身を守ることができます。
最初の方法は通常、最初は自衛の手段ですが、このタイプのセキュリティ対策は最も単純な攻撃を中和することしかできません:フロントエンドNginxをインストールし、ICMPおよびUDPプロトコルを禁止すると、サービスの寿命を大幅に簡素化できますが、それは特定のレベルに限られます。
また、ホスティングプロバイダーまたはサービスプロバイダーは保護を提供できますが、その機能は利用可能なチャネルによって制限され、どちらも高レベルのHTTP / HTTPSプロトコルを解析しません。
ベストプラクティスは、クラウドソリューションを使用することです。 ただし、DDoS攻撃から実際に保護するクラウドには、次のプロパティが必要です。
- 配布 クラウド内に地理的に分散した複数のノードが存在する必要があるため、それらのいずれかの障害がサービスに影響を与えることはありません。
- 独自の自律システムと独自のアドレスブロック。保護されたサービスに新しいIPアドレスが割り当てられ、ネットワーク上の真の場所を隠します。
- 自律システムとインターネットのグローバル接続。 クラウドサービスプロバイダーとしてのバックボーンオペレーターのみが、クラウドソリューションによって保護されているクライアントに、どのような攻撃が実行されてもトラフィックが失われないという自信を与えます。
- フィルタリングプロセスの完全自動化。 DDoS攻撃に対する優れた保護システムには、1日に数千のクライアントと数百のインシデントがあります。 このボリュームは手動で処理できません。 人は接続するフィルターなどを迅速に決定する必要があるため、手動での介入ではエラーが発生しますが、これは常に望ましい結果につながるとは限りません。
- パーマネントフィルタリングは優先サービスである必要があります。BGPまたはDNSを切り替えると、サイトのダウンタイムが数十分で測定され、サーバーの実際の場所が明らかになるためです。
- セキュリティシステムとサーバー間のバックアップ接続としてMPLS(マルチプロトコルラベルスイッチング)VPNテクノロジを使用する。 これにより、データセンターのチャネルがデータで完全に詰まっている場合でも、サーバーを完全に機能させることができます。
- CDNで静的コンテンツを使用します。
サーバー自体には、クライアントが常に利用できる多くの品質が必要です。正当なワークロードの増加に耐え、広告キャンペーン中に「落ち」、フィルターがオンになったときにすぐに回復しないようにする能力。 また、一定数のボット(通常1〜2%)がスキップされる可能性があり、サーバーがこれに耐えられる必要があることを理解することも重要です。
「1つのサーバー-1つのサービス。」 Webサーバーは、サーバー上の唯一のアプリケーションである必要があります。 それ以外の場合、攻撃者は、たとえばMXレコード(メールエクスチェンジャーは、電子メールのルーティング方法を示すDNSのレコードのタイプの1つ)からIPを知っているか、別のサービスのためにプロセッサを使い果たすことによってWebサーバーを無効にすることができます。 堅牢な分散DNSを使用することが非常に望ましいです。
会社が選択するDDoSに対する保護方法が何であれ、主なことは、攻撃に対して事前に準備する必要があることを覚えておくことです。 さらに、構築されたITインフラストラクチャは、会社の業務量に完全に準拠する必要があります。 これにより、損害が最小限に抑えられ、最もアクティブなビジネスシーズンでも顧客の忠誠心を失うことはありません。