Skip to content Skip to navigation Skip to footer

DoS(denial-of-service)攻撃は、サーバーにトラフィックを大量に流し込み、ウェブサイトまたはリソースを使用できない状態に陥らせます。DDoS(distributed denial-of-service)攻撃は複数のコンピュータまたはマシンを使用して標的のリソースにトラフィックを大量に流し込むDoS攻撃のことです。どちらの攻撃もサービスの妨害を目的としてサーバーまたはウェブアプリケーションをオーバーロードさせます 

処理しきれないほどのTCP/UDPパケットがサーバーに殺到すると、サーバーがクラッシュしたり、データが破損したり、リソースが誤作動を起こしたり、さらにはシステムが麻痺するほど疲弊したりする可能性があります。

DoSとDDoS攻撃の違いとは

DoSとDDoSの主な違いは、前者が1つのシステム対1つのシステムの攻撃であるのに対し、後者は複数のシステムが1つのシステムを攻撃することです。しかし、それ以外にも、その性質や検出方法には、次のような違いがあります。

  1. 検出・減災のしやすさ:DoSは一か所から発生するため、その発生源を検知し、接続を切断することが容易です。実際に、熟練したファイアウォールにはこの機能があります。一方で、DDoS攻撃は複数の離れた場所から行われるので、発生元がわかりません。
  2. 攻撃のスピード:DDoS攻撃は複数の場所から行われるため、1ヵ所から発生するDoS攻撃よりもずっと早く展開されます。この高速攻撃により検知が難しくなり、ダメージが大きくなり、壊滅的な状態になることさえあります 
  3. トラフィック量:DDoS攻撃は、複数のリモートマシン(ゾンビやボット)を使用するため、さまざまな場所から大量のトラフィックを同時に送信することができ、検知されない方法でサーバーに急速に負荷をかけることができます。
  4. 実行方法:DDoS攻撃は、マルウェア(ボット)に感染した複数のホストを連携させ、コマンド&コントロール(C&C)サーバーが管理するボットネットを構築します。一方、DoS攻撃では、通常、スクリプトやツールを使用して、1台のマシンから攻撃を実行します。
  5. 送信元の追跡:DDoS攻撃ではボットネットを使用するため、実際の送信元の追跡は、DoS攻撃の送信元の追跡よりもはるかに複雑になります。

DoSおよびDDoS攻撃の種類

DoS攻撃やDDoS攻撃は、さまざまな形態をとり、さまざまな手段で行われます。それは、企業のビジネスを失わせるためであったり、競合他社を無力化するためであったり、他の攻撃から目をそらすためであったり、単にトラブルを起こしたり、声明を出したりするためであったりします。以下はこのような攻撃でよくとられる形態です。

ティアドロップ攻撃

ティアドロップ攻撃とは、インターネットプロトコル(IP)のデータフラグメントを無数にネットワークに送りつけるDoS攻撃です。ネットワークがフラグメントを元のパケットに再コンパイルしようとしても、それができないのです 

例えば、攻撃者は非常に大きなデータパケットを複数のフラグメントに分解し、標的となるシステムが再構築できるようにします。しかし、攻撃者はパケットの分解方法を変えて標的となるシステムを混乱させ、その結果、フラグメントを元のパケットに再構成できなくします。

フラッディング攻撃

フラッディング攻撃とは、サーバーに複数の接続リクエストを送信した後、ハンドシェイクを完了するための応答を行わないDoS攻撃です 

例えば、攻撃者はクライアントとして接続するためにさまざまなリクエストを送信しますが、サーバーが接続を確認するために通信を返そうとすると、攻撃者は応答を拒否します。これを何度も繰り返すうちに、サーバーには保留中のリクエストが殺到し、実際のクライアントが接続できなくなり、サーバーが「ビジー」になったり、クラッシュしたりします。

IPフラグメンテーション攻撃

IPフラグメンテーション攻撃とは、受信側のネットワークが再構成できないように改ざんされたネットワークパケットを配信するDoS攻撃の一種です。ネットワークは、組み立てられていないかさばるパケットに悩まされ、リソースを完全に使い切ってしまいます。

Volumetric攻撃

Volumetric攻撃は帯域幅リソースを標的にするDDoS攻撃の一種です。例えば、攻撃者はボットネットを使って大量のリクエストパケットをネットワークに送信し、インターネット制御メッセージプロトコル(ICMP)エコーリクエストでネットワークの帯域幅を圧迫します。その結果、サービスが遅くなったり、完全に停止したりすることがあります。

プロトコル攻撃

プロトコル攻撃とは、OSIモデルのレイヤー3と4の弱点を利用したDDoS攻撃の一種です。例えば、攻撃者はTCPの接続シーケンスを悪用し、リクエストを送信しても期待通りの回答が得られなかったり、送信元IPアドレスを偽装した別のリクエストで応答したりします。未応答のリクエストは、ネットワークが利用できなくなるまで、ネットワークのリソースを消費します。

アプリケーションベース攻撃

アプリケーションベース攻撃とは、OSIモデルのレイヤー7を標的としたDDoS攻撃の一種です。例えば、Slowloris攻撃は、攻撃者がHTTP(ハイパーテキストトランスファープロトコル)リクエストを部分的に送信し、完了させない攻撃です。HTTPヘッダーはリクエストごとに定期的に送信されるため、ネットワークのリソースが集中してしまいます 

攻撃者は、サーバーから新しい接続ができなくなるまで、猛攻撃を続けます。この種の攻撃は、破損したパケットを送信するのではなく、部分的なパケットを送信するため、検出が非常に困難であり、また、帯域幅をほとんど使用しません。

DoS攻撃保護およびDDoS攻撃保護の改善方法

以下はいくつかの高度なDoSおよびDDoS防御のベストプラクティスです。

1.         継続してネットワークを監視する:通常のトラフィックパターンを認識するのに役立ち、また初期での検出や減災のために不可欠です。

2.         テストを実行してDoS攻撃をシミュレートする:リスクの評価、脆弱性の顕在化、サイバーセキュリティについての従業員の教育に役立ちます。

3.         保護計画を作成する:チェックリストを作成し、対応チームを組織し、対応パラメータを定義し、保護を展開します。

4.         重要なシステムと通常のトラフィックパターンを特定する:前者は保護計画の策定に、後者は脅威の早期発見に役立ちます。

5.         余分な帯域幅を提供する:攻撃を阻止することはできないかもしれませんが、ネットワークがトラフィックの急増に対処するのに役立ち、攻撃の影響を減災します。

DDoS攻撃は進化し、より高度で強力になっているため、組織は、高度なレポートツールや分析機能などの包括的な戦略を用いて、無数の脅威パラメータを同時に監視するソリューションを必要としています。既知の攻撃から組織を守り、ゼロデイ攻撃の可能性に備えるためには、FortiDDoSのような多層的なDDoS対策が必要です。

FortiDDoSには、フォーティネットのDDoS攻撃緩和アプライアンスが含まれており、継続的な脅威評価とレイヤー3、4、7のセキュリティ保護を提供します。