DrDos攻撃|サイバーセキュリティ.com

DrDos攻撃

DrDoS攻撃(Distributed Reflective Denial of Service、分散反射型サービス拒否攻撃)は、DDoS(分散型サービス拒否攻撃)の一種であり、反射型の手法を用いてターゲットを過剰なトラフィックで圧倒し、サービスを停止または著しく遅延させる攻撃手法です。この攻撃では、攻撃者はターゲットのIPアドレスを送信元として偽装したリクエストを、第三者のサーバー(反射リソース)に大量に送信します。これにより、反射リソースからの応答がターゲットに一斉に送られるため、攻撃トラフィックが増幅され、ターゲットに対する負荷が非常に高まります。

DrDoS攻撃の特長は、「反射」型の仕組みにあります。攻撃者自身が直接ターゲットに接触するのではなく、第三者のサーバーやデバイスを利用して攻撃を行うため、攻撃元を特定しにくい点が特徴です。攻撃に使用される反射リソースは、DNSサーバー、NTPサーバー、SNMPサーバー、Memcachedサーバーなどが多く用いられます。

DrDoS攻撃の仕組み

DrDoS攻撃の基本的な流れを以下に示します。

送信元IPアドレスの偽装:

攻撃者は、ターゲットのIPアドレスを送信元として偽装したリクエストを作成します。
このリクエストをインターネット上の多数の反射リソースに送信します。
反射リソースへのリクエスト送信:

攻撃者からの偽装リクエストを受け取った反射リソース(例えば、DNSサーバーやNTPサーバーなど)は、通常通りリクエストに対する応答を返そうとします。
しかし、送信元が偽装されているため、この応答は攻撃者ではなく、ターゲットに向かって送信されます。
増幅された応答の送信:

DrDoS攻撃では、攻撃者が送信するリクエストに対して、反射リソースからの応答が非常に大きく増幅されることが特徴です。これにより、ターゲットに対して大量のトラフィックが送り込まれます。
例えば、DNSアンプ攻撃では、小さなDNSリクエストが何十倍にも増幅された応答となり、ターゲットを圧倒する形で送信されます。
ターゲットへの負荷の増大:

ターゲットは、大量の増幅されたトラフィックを受け取り、ネットワークの帯域幅が埋め尽くされることで、サービスが利用不能になる、遅延が生じるといった被害が発生します。

DrDoS攻撃で使用される主な反射リソース

DrDoS攻撃では、特定のプロトコルを利用した反射リソースが多用されます。以下はその代表例です。

DNSサーバー

DNSアンプ攻撃では、DNSリクエストが増幅された応答として返され、ターゲットに大きなトラフィックが送られます。これにより、DNSサーバーが悪用されるケースが多いです。

NTPサーバー

NTP(Network Time Protocol)サーバーを利用した攻撃では、「monlist」という古いNTPコマンドを利用して大きな応答を生成し、ターゲットに送信することで増幅が行われます。

SNMP(Simple Network Management Protocol)

SNMPプロトコルを使用するデバイスが反射リソースとして利用され、増幅されたトラフィックがターゲットに送信されます。

Memcachedサーバー

Memcachedサーバーは、データキャッシュシステムとして利用されますが、大きな応答を生成できるため、DrDoS攻撃の反射リソースとして悪用される場合があります。

DrDoS攻撃の対策

DrDoS攻撃を防ぐためには、以下の対策が有効です。

反射リソースの適切な設定

DNSサーバーやNTPサーバーなどの反射リソースを運用している場合、アクセス制限や不要なサービスの無効化を行うことで、悪用を防ぐことができます。特に、オープンリゾルバや「monlist」コマンドの無効化などが有効です。

IPアドレスのフィルタリング

ISPやネットワーク管理者は、送信元IPアドレスの検証を行い、偽装されたIPアドレスを防止することが重要です。これにより、攻撃者が偽装したIPアドレスを使用して攻撃を行うのを抑制できます。

レートリミッティングの導入

DNSサーバーや他のサービスで一定期間内に受け付けるリクエスト数を制限することで、過剰なトラフィックを防ぎ、攻撃の影響を軽減できます。

DDoSプロテクションサービスの利用

DDoS攻撃に対する保護を提供するクラウドベースのセキュリティサービスを利用することで、大規模な攻撃からネットワークやサービスを保護できます。

ファイアウォールや侵入防止システムの活用

ファイアウォールや侵入防止システム(IPS)を活用して、特定の種類のトラフィックをブロックしたり、異常なトラフィックを検知することで、攻撃を防止することが可能です。

まとめ

DrDoS攻撃(Distributed Reflective Denial of Service)は、反射リソースを利用してターゲットに大量のトラフィックを送り込み、サービスを停止または遅延させるDDoS攻撃の一種です。この攻撃では、偽装されたリクエストを用いて反射リソースからの応答を増幅させることで、大規模な攻撃を実現します。対策としては、反射リソースの適切な管理、IPアドレスのフィルタリング、レートリミッティング、DDoSプロテクションサービスの利用が重要です。これにより、ネットワークやサービスを保護し、攻撃のリスクを軽減することが可能です。


SNSでもご購読できます。