DDoS とは何か、そして Cloudflare 計画がハクティビズムをどのように脅かすのか

最近、サイバー犯罪が増加しており、ランサムウェア攻撃 (WannaCry、NotPetya)、ハッキングされたデータベース (Equifax、Sony、Yahoo)、ソフトウェア バックドア (Floxif/CCleaner、ShadowPad/NetSarang) が頻繁にニュースになっています。これらの攻撃の規模と範囲は驚くべきものですが、実際のところ、サイバー犯罪者はデータ、個人情報、金銭を盗むことだけに限定されているわけではありません。仮想世界における犯罪の範囲は、現実世界と同じか、それ以上に広範です。最近注目を集めているサイバー攻撃の 1 つのタイプは、DDoS (分散型サービス拒否攻撃) です。これは、長年にわたってホワイトハット ハッカー コミュニティをしばしば分裂させてきました。大手 CDN サービスプロバイダーである Cloudflare が、すべてのクライアントに対して無料の DDoS 保護を発表したことで、「倫理的な」DDoS 対悪意のある DDoS に関する長年の議論が再び始まり、双方がそれぞれの主張を全面的に支持しています。 DDoS 攻撃に関する議論がインターネット上で激化している中、今日はこの現象を詳しく見て、それについて詳しく学ぶだけでなく、ハクティビストや言論の自由擁護団体がなぜ攻撃に失敗し続けるのかを理解しようとします。まずそれについて合意に達するための彼らの努力:

DDoS とは何ですか?またその仕組みは何ですか?

最も簡単に言うと、分散型サービス拒否 (DDoS) 攻撃とは、ターゲット サーバーに圧倒的な量のトラフィックを大量に送り込み、ネットワークの速度を低下させたり、ネットワークを完全にクラッシュさせたり することで、サイトやネットワークの通常の機能を人為的に妨害しようとする試み です。 。これは、コンピューター、スマートフォン、IoT デバイスなどの ネットに接続されたデバイスを含む可能性のある、いわゆる「ボットネット」 の一部として複数の侵害されたシステムを使用することによって実現されます。ブラックハット ハッカーやハクティビストは、さまざまな高度なツールを使用して 、ターゲット サーバーに過剰な量のトラフィックを大量に送信する だけでなく、重要なネットワーク セキュリティをターゲットとする、より巧妙で検出が困難な侵入テクニックを使用して、これらの攻撃を実行します。ファイアウォールや IDS/IPS (侵入検知/防御システム) などのインフラストラクチャ。

DoS とは何ですか? DDoS との違いは何ですか?

サービス拒否 (DoS) 攻撃は 、正規のユーザーが 標的のサーバー 、システム、またはその他のネットワーク リソースにアクセスすることを妨げる限り、その名前のとおりです。 DDoS 攻撃の場合と同様、このような攻撃を実行する者は、通常、ターゲットのインフラストラクチャに過剰な量の余分なリクエストを大量に送信してリソースを圧倒し、影響を受けるネットワークやネットワークの利用を困難または不可能にします 。サービスに対する真の要求に応答するシステム。 エンド ユーザーにとって、DoS の影響は DDoS の影響とまったく異なるわけではありませんが、 通常、攻撃を実行するために単一のマシンと単一のインターネット接続を使用する前者と は異なり、 後者は複数の侵害されたデバイスを使用して 、意図したターゲットにフラッディングを行います。そのため、検出と防止が非常に困難になります。

DDoS 攻撃にはどのような種類がありますか?

前述したように、サイバー犯罪者もハクティビストも無数の攻撃ベクトルを利用して DDoS 攻撃を実行しますが、これらの攻撃の大部分は、大部分が次の 3 つの大きなカテゴリに分類されます: ボリューム攻撃または帯域幅攻撃、プロトコル攻撃または状態枯渇攻撃、およびアプリケーション層攻撃または層 7 攻撃。これらの攻撃はすべて、以下の図に示すように、7 つの異なる層で構成されるネットワーク接続のさまざまなコンポーネントをターゲットとしています。

1. ボリューム攻撃または帯域幅攻撃

この種の攻撃は、毎年世界中で実行される すべての DDoS 攻撃の半分以上を占める と考えられています。ボリューム攻撃にはさまざまなタイプがありますが、最も一般的なのは ユーザー データグラム プロトコル (UDP) フラッド です。これにより、攻撃者はリモート ホスト上のランダムなポートに大量の UDP パケットを送信し、サーバーが繰り返しチェックして、適切でない攻撃に応答します。 -存在するアプリケーションが存在するため、正規のトラフィックに応答しなくなります。同様の結果は、なりすましが多い複数の IP アドレスからの ICMP (インターネット コントロール メッセージ プロトコル) エコー要求で被害者のサーバーをフラッディングすることによっても達成できます。ターゲット サーバーは、これらの偽のリクエストのすべてに誠意を持って応答しようとしますが、最終的には過負荷になり、本物の ICMP エコー リクエストに応答できなくなります。ボリューム攻撃はビット/秒 (Bps) で測定されます。

2. プロトコル攻撃または状態枯渇攻撃

状態枯渇攻撃とも呼ばれるプロトコル攻撃は、Web アプリケーション サーバーだけでなく、ロード バランサーやファイアウォールなどの中間リソースを含む他のインフラストラクチャ コンポーネントの接続状態テーブルの容量も消費します。この種の攻撃は、目的を達成するために プロトコル スタックのレイヤー 3 および 4 の弱点を狙う ため、「プロトコル攻撃」と呼ばれています。何百万もの接続で状態を維持するように特別に設計された最先端の商用デバイスでさえ、プロトコル攻撃によって悪影響を受ける可能性があります。最もよく知られているプロトコル攻撃の 1 つは、TCP の「スリーウェイ ハンドシェイク メカニズム」を悪用する「SYN フラッド」です。その仕組みは、ホストが大量の TCP/SYN パケットを大量に送信し、多くの場合、送信者アドレスが偽造され、十分なサーバー リソースを消費して、正当なリクエストの通過をほぼ不可能にします。他のタイプのプロトコル攻撃には、Ping of Death、Smurf DDoS、断片化パケット攻撃などがあります。これらのタイプの攻撃は、1 秒あたりのパケット数 (Pps) で測定されます。

3. アプリケーション層攻撃またはレイヤー 7 攻撃

アプリケーション層攻撃は、OSI モードの第 7 層に関連して層 7 攻撃と呼ばれることが多く、HTTP リクエストを送信しているユーザーに配信 される Web ページが生成される層を標的とします 。さまざまな種類のレイヤー 7 攻撃には、悪名高い「 Slowloris 」攻撃が含まれます。この攻撃では、攻撃者は大量の HTTP リクエストをターゲット サーバーに「ゆっくり」送信しますが、リクエストはまったく完了しません。攻撃者は短い間隔で追加のヘッダーを送信し続けるため、サーバーはこれらの終わりのない HTTP リクエストに対して開いた接続を維持し、最終的にはシステムが有効なリクエストに応答できなくなるほど十分なリソースを横取りします。もう 1 つの人気のあるレイヤー 7 攻撃は HTTP フラッド 攻撃です。この攻撃では、短期間のうちに大量の偽の HTTP、GET、または POST リクエストが標的のサーバーに殺到し、正規のユーザーに対してサービス妨害が発生します。アプリケーション層の攻撃には通常、ターゲット サーバーに不自然に大量のリクエストを送信することが含まれるため、それらは 1 秒あたりのリクエスト (Rps) で測定されます。

上記の単一ベクトル攻撃に加えて、システムやネットワークをさまざまな方向から同時に標的とする マルチベクトル攻撃 も存在するため、ネットワーク エンジニアが DDoS 攻撃に対する包括的な戦略を立てることがますます困難になっています。マルチベクトル攻撃の例の 1 つは、攻撃者がレイヤー 3 および 4 をターゲットとする DNS Amplification と、レイヤー 7 をターゲットとする HTTP フラッドを組み合わせた場合です。

DDoS 攻撃からネットワークを保護する方法

ほとんどの DDoS 攻撃は、ターゲットのサーバーまたはネットワークをトラフィックで圧倒することによって機能するため、DDoS 攻撃を軽減するために最初に行う必要があるのは 、本物のトラフィックと悪意のあるトラフィックを区別すること です。ただし、ご想像のとおり、これらの攻撃の種類、複雑さ、高度さのレベルを考慮すると、物事はそれほど簡単ではありません。そのため、最新かつ最も洗練された DDoS 攻撃からネットワークを保護するには、ネットワーク エンジニアが赤ちゃんをお風呂の水と一緒に捨てないように慎重に戦略を設計する必要があります。攻撃者は悪意のあるトラフィックを正常に見せようと最善を尽くすため、すべてのトラフィックを制限することを伴う軽減策は正当なトラフィックを制限することになりますが、より寛容な設計によりハッカーは対策をより簡単に回避できるようになります。その場合、最も効果的なソリューションを達成するには、 階層化されたソリューションを採用する 必要があります。

ただし、専門的な内容に入る前に、最近のほとんどの DDoS 攻撃には、何らかの方法で通信レーンを遮断することが含まれているため、当然のこととして、自分自身を保護し、ネットワークの 冗長性を高めることが必要であることを理解する必要があります。帯域幅とより多くのサーバーが 異なる地理的位置にある複数のデータセンターに分散され、自然災害などに対する保険としても機能します。

もう 1 つ重要なことは、DNS サーバーに関して業界のベスト プラクティスに従うことです。 オープン リゾルバーを削除することは 、DDoS に対する防御の重要な最初のステップの 1 つです。そもそも、誰もドメイン名を解決できなければ、Web サイトに意味がないからです。その場合、ほとんどのドメイン名レジストラがデフォルトで提供する 慣例的なデュアル DNS サーバー設定以外にも目を向ける 必要があります。主要な CDN サービス プロバイダーのほとんどを含む多くの企業は、Web リソースやその他のリソースと同じ種類の負荷分散の背後で保護さ れる冗長 DNS サーバーによる強化された DNS 保護 も提供しています。

ほとんどのサイトやブログはホスティングをサードパーティに委託していますが、独自のデータを提供し、独自のネットワークを管理することを選択するサイトやブログもあります。そのグループに属している場合、従う必要がある基本的かつ重要な業界慣行 には、効果的なファイアウォールを設定し、必要ない場合は ICMP をブロックすることが含まれます 。また、 すべてのルーターがジャンク パケットをドロップしている ことを確認してください。また、ISP に連絡して、必要なトラフィックをブロックできるかどうかを確認する必要があります。契約条件は ISP によって異なるため、ネットワーク オペレーティング センターに問い合わせて、企業向けにそのようなサービスを提供しているかどうかを確認する必要があります。一般に、CDN プロバイダー、ISP、ネットワーク管理者が DDoS 攻撃を軽減するためによく採​​用する手順の一部を以下に示します。

ブラックホールルーティング

ブラック ホール ルーティング (ブラックホール化) は、DDoS 攻撃を軽減する最も効果的な方法の 1 つですが、ネットワーク トラフィックを適切に分析し、厳格な制限基準を作成した後にのみ実装する必要があります。そうしないと、 すべてのルーティングが 「ブラックホール」になってしまいます。本物か悪意があるかに関係なく、 ヌル ルート (ブラックホール) への受信トラフィック 。技術的には DDoS を回避できますが、いずれにしても攻撃者はネットワーク トラフィックを中断するという目的を達成したことになります。

レート制限

DDoS 攻撃を軽減するためによく使用されるもう 1 つの方法は、「レート制限」です。その名前が示すように、 指定された時間枠内でサーバーが受け入れるリクエストの数を制限し ます。これは、Web スクレイパーによるコンテンツの盗用を阻止し、ブルート フォース ログイン試行を軽減するのに役立ちますが、DDoS 攻撃に効果的に対処できるようにするには、他の戦略と組み合わせて使用​​する必要があります。

ウェブ アプリケーション ファイアウォール (WAF)

リバース プロキシと WAF は 、それ自体では十分ではありませんが、DDoS だけでなくさまざまな脅威を軽減するために必要な最初のステップの一部です。 WAF は 、DDoS ツールを識別するために使用される一連のルールに基づいてリクエストをフィルタリングすることにより、 レイヤー 7 攻撃からターゲット ネットワークを保護するのに役立ちますが、SQL インジェクション、クロスサイト スクリプティング、クロスサイト フォージェリ リクエストからサーバーを保護するのにも非常に効果的です。

エニーキャストネットワークの普及

コンテンツ配信ネットワーク (CDN) は、DDoS 攻撃を軽減する効果的な方法としてエニーキャスト ネットワークを使用することがよくあります。このシステムは 、攻撃を受けているネットワーク宛てのすべてのトラフィックを、異なる場所にある一連の分散サーバーに再ルーティングすること で機能し、それによって DDoS 攻撃の試みによる破壊的な影響を分散します。

Cloudflareは無料のDDoS保護でDDoS攻撃を永久に終わらせることをどのように提案していますか?

世界有数のコンテンツ配信ネットワークの 1 つである Cloudflare は、攻撃の規模や規模に関係なく、有料顧客だけでなく無料クライアントにも DDoS 攻撃からの保護を提供すると最近発表しました。予想通り、今週初めに行われたこの発表は、業界内だけでなく、攻撃を受けているクライアントを追い出したり、より多くの金銭を要求したりするCloudflareを含むCDNに慣れている世界的なテクノロジーメディア内でもかなりの話題を呼んだ。継続的な保護のために。これまで、被害者は攻撃を受けたときに自分で身を守らなければなりませんでしたが、無料で従量制の DDoS 防御の約束は、Web サイトやネットワークが物議を醸すコンテンツを公開するという常に脅威にさらされているブログや企業に温かく受け入れられました。

Cloudflareのオファーは確かに革新的ですが、言及する必要があるのは、 無料の従量制の保護のオファーはレイヤー3とレイヤー4の攻撃にのみ適用され 、レイヤー7の攻撃は依然として20ドルから始まる有料プランでのみ利用できるということです。月あたり。

成功した場合、Cloudflareの提案は「ハクティビズム」にとって何を意味するのでしょうか?

予想通り、Cloudflareの発表により、ハクティビストやインターネットセキュリティの専門家の間で倫理的なハッキングと言論の自由に関する議論が再燃した。カオス・コンピュータ・クラブ（CCC）やアノニマスなどの多くのハクティビスト団体は、憎悪に満ちたプロパガンダや偏屈な（しばしば暴力的な）イデオロギーを広めるウェブサイトやブログに対して「デジタル抗議活動」を行う必要があると長年主張してきた。そういうわけで、これらの活動家ハッカー、つまり ハクティビストのグループは、テロリストのウェブサイト、ネオナチのブログ、児童ポルノの販売業者を DDoS 攻撃で頻繁にターゲットにしており 、最新の犠牲者は、最近の活動を賞賛した極右の「デイリー・ストーマー」ブログだった。バージニア州シャーロッツビルで右翼過激派による人権活動家殺害事件。

CloudflareのCEOマチュー・プリンスやEFF（電子フロンティア財団）のような一部の人たちは、ハクティビストがDDoS攻撃で言論の自由を沈黙させようとしていると批判しているが、ハクティビズムの支持者は、忌まわしいイデオロギーに対する彼らのデジタル抗議活動は町の広場や広場を埋め尽くすのと何ら変わらないと主張する。 2011 年 9 月 17 日の有名なウォール街占拠抗議活動から始まった「占拠」運動に沿って座り込みを行い、世界中で拡大する社会経済的不平等に世界的な注目を集めました。

DDoS は、倫理的なハッカーがテロリスト、偏屈者、小児性愛者に対して迅速に行動し、不道徳な (多くの場合違法な) コンテンツを永久にオフラインにすることを可能にする、真の抗議のためのツールであると 主張する人もいるかもしれませんが、 そのような攻撃には暗い側面もあります 。過去にも調査ジャーナリストや内部告発者がこうした攻撃の標的になることが多く、サイバーセキュリティジャーナリストのブライアン・クレブス氏のウェブサイトが、ピーク時で665Gbpsという驚異的な速度を記録した大規模なDDoS攻撃によってダウンしたのはつい昨年のことだった。 。クレブス氏は以前、vDOSと呼ばれるイスラエルのDDoSレンタルサービスについて報告しており、その結果イスラエル人2人が逮捕され、今回の攻撃は報復とみられていた。

関連項目: ウェブサイトに最適な Cloudflare の代替案 7 選

DDoS 攻撃とそれを過去のものにする Cloudflare の計画

DDoS攻撃を過去のものにするというCloudflareの大胆な主張にもかかわらず、多くの専門家は、現段階でDDoS攻撃を完全に廃止することは技術的に不可能だと主張している。 Facebook や Google のような巨大企業は、そのような攻撃を受けないようにするために必要なインフラストラクチャの冗長性を備えていますが、そのような保護を太陽の下にあるすべてのサイトに拡張することは、最大手の CDN にとってさえ課題となる可能性があります。しかし、プリンス氏は、Cloudflare は「インターネットが投げかけてくるものはすべて」吸収できると主張しているため、DDoS 攻撃が永久に歴史の片隅にされることになるのか、それともハクティビストグループが一部の攻撃を回避できるようになるのかは時間が経てば分かるだろう。暴力、憎しみ、不正義に対する道徳的運動を続けるための対抗策。