ホームページ » の仕方 » DoS攻撃とDDoS攻撃とは何ですか?

    DoS攻撃とDDoS攻撃とは何ですか?

    DoS(サービス拒否)攻撃とDDoS(分散サービス拒否)攻撃は、ますます一般的で強力になっています。 DoS攻撃にはさまざまな形がありますが、Webページ、電子メール、電話ネットワークなど、まったく別のものであるかどうかにかかわらず、リソースにユーザーがアクセスできないようにするという共通の目的があります。 Webターゲットに対する最も一般的な種類の攻撃と、DoSがDDoSになる可能性がある方法を見てみましょう。.

    最も一般的なDoS攻撃の種類

    その根幹を成すものとして、サービス拒否攻撃は通常、サーバー、つまりWebサイトのサーバーをフラッディングすることによって実行されるため、正当なユーザーにサービスを提供することはできません。これを実行する方法はいくつかありますが、最も一般的なものはTCPフラッディング攻撃とDNS増幅攻撃です。.

    TCPフラッディング攻撃

    ほとんどすべてのWeb(HTTP / HTTPS)トラフィックは、伝送制御プロトコル(TCP)を使用して実行されます。 TCPは、代替のUser Datagram Protocol(UDP;ユーザデータグラムプロトコル)よりもオーバーヘッドが大きくなりますが、信頼性が高くなるように設計されています。 TCPを介して互いに接続された2台のコンピュータは、各パケットの受信を確認します。確認メッセージが表示されない場合は、パケットをもう一度送信する必要があります。.

    1台のコンピュータが切断された場合はどうなりますか?ユーザーが停電したり、ISPに障害が発生したり、使用しているアプリケーションが他のコンピューターに通知せずに終了したりした可能性があります。他のクライアントは同じパケットの再送信をやめる必要があります。そうしないとリソースを無駄に消費します。終わりのない送信を防ぐために、タイムアウト期間を指定したり、接続を完全に切断するまでにパケットを再送信できる回数を制限したりします。.

    TCPは、災害発生時に軍事基地間の信頼できる通信を容易にするように設計されていますが、まさにこの設計により、サービス拒否攻撃に対して脆弱です。 TCPが作成されたとき、それが10億以上のクライアントデバイスによって使用されることを誰も想像していませんでした。現代のサービス拒否攻撃に対する保護は、設計プロセスの一部ではありませんでした。.

    Webサーバに対する最も一般的なDoS攻撃は、SYN(同期)パケットをスパムすることによって行われます。 SYNパケットを送信することは、TCP接続を開始する最初のステップです。 SYNパケットを受信した後、サーバーはSYN-ACKパケットで応答します(同期確認)。最後に、クライアントはACK(確認応答)パケットを送信し、接続を完了します。.

    ただし、クライアントが設定時間内にSYN-ACKパケットに応答しない場合、サーバはパケットを再度送信し、応答を待ちます。この手順を何度も繰り返すことになり、サーバーのメモリとプロセッサの時間が無駄になる可能性があります。実際、十分に行われていると、正当なユーザーが自分のセッションを短くしたり、新しいセッションを開始することができないほど、多くのメモリとプロセッサ時間を浪費する可能性があります。さらに、すべてのパケットから帯域幅の使用量が増加するとネットワークが飽和状態になり、実際に必要なトラフィックを伝送できなくなります。.

    DNS増幅攻撃

    サービス妨害攻撃はDNSサーバーを標的にすることもできます。ドメイン名(howtogeek.comなど)を、コンピューターが通信に使用するIPアドレス(12.345.678.900)に変換するサーバーです。ブラウザにhowtogeek.comと入力すると、DNSサーバーに送信されます。その後、DNSサーバーは実際のWebサイトにアクセスします。速度と待ち時間が短いことがDNSの主な関心事であるため、プロトコルはTCPではなくUDPを介して動作します。 DNSはインターネットのインフラストラクチャの重要な部分であり、DNS要求によって消費される帯域幅は一般に最小限です.

    しかし、DNSはゆっくりと成長し、新しい機能も徐々に追加されていきました。これは問題をもたらしました:DNSは512バイトのパケットサイズ制限を持っていました、それはすべてのそれらの新機能のために十分ではありませんでした。そのため、1999年にIEEEはDNSの拡張メカニズム(EDNS)の仕様を発表しました。これにより、上限が4096バイトに増え、各要求に含まれる情報が増えました。.

    ただし、この変更により、DNSは「増幅攻撃」に対して脆弱になりました。攻撃者は特別に細工した要求をDNSサーバーに送信し、大量の情報を要求し、それらが標的のIPアドレスに送信されるように要求することができます。 「増幅」は、サーバーの応答がそれを生成する要求よりはるかに大きいために作成され、DNSサーバーはその応答を偽造されたIPに送信します。.

    多くのDNSサーバーは不正な要求を検出またはドロップするように設定されていないため、攻撃者が偽造された要求を繰り返し送信すると、被害者は巨大なEDNSパケットにあふれ、ネットワークが混雑します。大量のデータを処理できないため、正当なトラフィックが失われます.

    分散型サービス拒否(DDoS)攻撃とは?

    分散型サービス拒否攻撃は、複数の(ときには無意味な)攻撃者がいる攻撃です。 Webサイトとアプリケーションは多数の同時接続を処理するように設計されています - 結局のところ、Webサイトは一度に1人の人しか訪問できなければあまり役に立ちません。グーグル、フェイスブック、アマゾンのような巨大なサービスは数百万から数千万の同時ユーザーを扱うように設計されています。そのため、1人の攻撃者がDoS攻撃を仕掛けて攻撃を仕掛けることは不可能です。しかし たくさんの 攻撃者は.

    攻撃者を勧誘する最も一般的な方法はボットネットを使用することです。ボットネットでは、ハッカーはあらゆる種類のインターネット接続デバイスにマルウェアを感染させます。それらの機器は、コンピュータ、電話、あるいはDVRや防犯カメラのようなあなたの家の中の他の機器でさえありえます。一度感染すると、それらの機器(ゾンビと呼ばれる)を使って定期的に指揮統制サーバーに連絡して指示を求めることができます。これらのコマンドは、暗号通貨のマイニングからDDoS攻撃への参加まで多岐にわたります。そのように、彼らは一緒にバンドを組むために大量のハッカーを必要としません - 彼らは彼らの汚い仕事をするために普通の在宅ユーザの安全でない装置を使うことができます.

    他のDDoS攻撃は、通常は政治的動機のために、自発的に行われる可能性があります。 Low Orbit Ion CannonのようなクライアントはDoS攻撃を簡単にし、配布するのが簡単です。 DDoS攻撃に(意図的に)参加することはほとんどの国で違法であることを覚えておいてください.

    最後に、いくつかのDDoS攻撃は意図的ではない場合があります。もともとスラッシュドット効果と呼ばれ、「死の抱擁」として一般化されていましたが、大量の正当なトラフィックがWebサイトを妨害する可能性があります。おそらくこれは、人気のあるサイトが小さなブログにリンクし、膨大な数のユーザーが誤ってそのサイトをダウンさせてしまう前に起こるのを見たことがあるでしょう。技術的には、意図的または悪意がない場合でも、これは依然としてDDoSとして分類されます。.

    DoS攻撃から身を守る方法はありますか?

    一般的なユーザーは、サービス拒否攻撃の標的になることを心配する必要はありません。ストリーマやプロゲーマーを除いて、DoSが個人に向けられることは非常にまれです。それでも、ボットネットの一部になる可能性があるマルウェアからすべてのデバイスを保護するために、できる限り最善を尽くす必要があります。.

    あなたがWebサーバーの管理者であるなら、DoS攻撃からあなたのサービスを保護する方法に関する豊富な情報があります。サーバー構成とアプライアンスはいくつかの攻撃を軽減することができます。認証されていないユーザーが大量のサーバーリソースを必要とする操作を実行できないようにすることで、他のユーザーを防ぐことができます。残念ながら、DoS攻撃の成功は、誰がより大きなパイプを持っているかによって決まることがほとんどです。 CloudflareやIncapsulaなどのサービスは、Webサイトの前に立つことで保護を提供しますが、高価になる可能性があります。.