無料会員登録DrDoS攻撃(Distributed Reflective Denial of Service、分散反射型サービス拒否攻撃)は、DDoS(分散型サービス拒否攻撃)の一種であり、反射型の手法を用いてターゲットを過剰なトラフィックで圧倒し、サービスを停止または著しく遅延させる攻撃手法です。この攻撃では、攻撃者はターゲットのIPアドレスを送信元として偽装したリクエストを、第三者のサーバー(反射リソース)に大量に送信します。これにより、反射リソースからの応答がターゲットに一斉に送られるため、攻撃トラフィックが増幅され、ターゲットに対する負荷が非常に高まります。
DrDoS攻撃の特長は、「反射」型の仕組みにあります。攻撃者自身が直接ターゲットに接触するのではなく、第三者のサーバーやデバイスを利用して攻撃を行うため、攻撃元を特定しにくい点が特徴です。攻撃に使用される反射リソースは、DNSサーバー、NTPサーバー、SNMPサーバー、Memcachedサーバーなどが多く用いられます。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
DrDoS攻撃の仕組み
DrDoS攻撃の基本的な流れを以下に示します。
送信元IPアドレスの偽装:
攻撃者は、ターゲットのIPアドレスを送信元として偽装したリクエストを作成します。
このリクエストをインターネット上の多数の反射リソースに送信します。
反射リソースへのリクエスト送信:
攻撃者からの偽装リクエストを受け取った反射リソース(例えば、DNSサーバーやNTPサーバーなど)は、通常通りリクエストに対する応答を返そうとします。
しかし、送信元が偽装されているため、この応答は攻撃者ではなく、ターゲットに向かって送信されます。
増幅された応答の送信:
DrDoS攻撃では、攻撃者が送信するリクエストに対して、反射リソースからの応答が非常に大きく増幅されることが特徴です。これにより、ターゲットに対して大量のトラフィックが送り込まれます。
例えば、DNSアンプ攻撃では、小さなDNSリクエストが何十倍にも増幅された応答となり、ターゲットを圧倒する形で送信されます。
ターゲットへの負荷の増大:
ターゲットは、大量の増幅されたトラフィックを受け取り、ネットワークの帯域幅が埋め尽くされることで、サービスが利用不能になる、遅延が生じるといった被害が発生します。
DrDoS攻撃で使用される主な反射リソース
DrDoS攻撃では、特定のプロトコルを利用した反射リソースが多用されます。以下はその代表例です。
DNSサーバー
DNSアンプ攻撃では、DNSリクエストが増幅された応答として返され、ターゲットに大きなトラフィックが送られます。これにより、DNSサーバーが悪用されるケースが多いです。
NTPサーバー
NTP(Network Time Protocol)サーバーを利用した攻撃では、「monlist」という古いNTPコマンドを利用して大きな応答を生成し、ターゲットに送信することで増幅が行われます。
SNMP(Simple Network Management Protocol)
SNMPプロトコルを使用するデバイスが反射リソースとして利用され、増幅されたトラフィックがターゲットに送信されます。
Memcachedサーバー
Memcachedサーバーは、データキャッシュシステムとして利用されますが、大きな応答を生成できるため、DrDoS攻撃の反射リソースとして悪用される場合があります。
DrDoS攻撃の対策
DrDoS攻撃を防ぐためには、以下の対策が有効です。
反射リソースの適切な設定
DNSサーバーやNTPサーバーなどの反射リソースを運用している場合、アクセス制限や不要なサービスの無効化を行うことで、悪用を防ぐことができます。特に、オープンリゾルバや「monlist」コマンドの無効化などが有効です。
IPアドレスのフィルタリング
ISPやネットワーク管理者は、送信元IPアドレスの検証を行い、偽装されたIPアドレスを防止することが重要です。これにより、攻撃者が偽装したIPアドレスを使用して攻撃を行うのを抑制できます。
レートリミッティングの導入
DNSサーバーや他のサービスで一定期間内に受け付けるリクエスト数を制限することで、過剰なトラフィックを防ぎ、攻撃の影響を軽減できます。
DDoSプロテクションサービスの利用
DDoS攻撃に対する保護を提供するクラウドベースのセキュリティサービスを利用することで、大規模な攻撃からネットワークやサービスを保護できます。
ファイアウォールや侵入防止システムの活用
ファイアウォールや侵入防止システム(IPS)を活用して、特定の種類のトラフィックをブロックしたり、異常なトラフィックを検知することで、攻撃を防止することが可能です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
まとめ
DrDoS攻撃(Distributed Reflective Denial of Service)は、反射リソースを利用してターゲットに大量のトラフィックを送り込み、サービスを停止または遅延させるDDoS攻撃の一種です。この攻撃では、偽装されたリクエストを用いて反射リソースからの応答を増幅させることで、大規模な攻撃を実現します。対策としては、反射リソースの適切な管理、IPアドレスのフィルタリング、レートリミッティング、DDoSプロテクションサービスの利用が重要です。これにより、ネットワークやサービスを保護し、攻撃のリスクを軽減することが可能です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
誰にでもサイバー攻撃は可能?DDoS攻撃の仕組みと対策について
分散システム(distributed systems)とは?仕組みや種類、メリットデメリットについて徹底解説
IPスプーフィングとは?攻撃の仕組みや危険性、対策について徹底解説
DNS水責め攻撃(ランダムサブドメイン攻撃)とは?仕組みや危険性、対策について徹底解説
DNSリフレクション攻撃とは?仕組みや注意点、対策方法について徹底解説
IDS/IPS(不正アクセス検知・防御システム)ツールの徹底比較
厚生労働省アノニマスによるサイバー攻撃か?DDos攻撃とその対策
DDoS攻撃とは?意味やDoSとの違いや対策方法とは?
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
