Ethical-hacking-ddos-attacks

提供:Dev Guides
移動先:案内検索

倫理的ハッキング-DDOS攻撃

分散型サービス拒否(DDoS)攻撃は、複数のソースから生成された大量のトラフィックでオンラインサービスまたはWebサイトを過負荷にすることにより、オンラインサービスまたはWebサイトを利用不能にする試みです。

1つのコンピューターと1つのインターネット接続を使用してターゲットリソースをパケットでフラッディングするサービス拒否(DoS)攻撃とは異なり、DDoS攻撃は多くのコンピューターと多くのインターネット接続を使用します。ボットネット*。

大規模なボリュームDDoS攻撃は、1秒あたり数十ギガビット(さらには数百ギガビット)で測定されるトラフィックを生成できます。 通常のネットワークではこのようなトラフィックを処理できないと確信しています。

ボットネットとは何ですか?

攻撃者は、電子メール、ウェブサイト、ソーシャルメディアを通じて悪意のあるコードを拡散することにより、「ボットネット」と呼ばれるハッキングされたマシンのネットワークを構築します。 これらのコンピューターが感染すると、所有者の知らないうちにリモートで制御し、軍隊のように使用して任意のターゲットに対して攻撃を開始できます。

DDOSシステム

DDoSフラッドは複数の方法で生成されます。 たとえば-

  • ボットネットは、サーバーが一度に処理できるよりも多くの接続要求を送信するために使用できます。
  • 攻撃者は、ターゲットの帯域幅を使い果たすために、コンピューターに犠牲リソースに大量のランダムデータを送信させることができます。

これらのマシンは分散されているため、処理が難しい可能性のある分散した高トラフィックの生成に使用できます。 最終的に、サービスが完全にブロックされます。

DDoS攻撃の種類

DDoS攻撃は大きく3つのカテゴリに分類できます-

  • ボリュームベースの攻撃
  • プロトコル攻撃
  • アプリケーション層攻撃

ボリュームベースの攻撃

ボリュームベースの攻撃には、TCPフラッド、UDPフラッド、ICMPフラッド、およびその他のスプーフィングされたパケットフラッドが含まれます。 これらは Layer 3&4 Attacks とも呼ばれます。 ここで、攻撃者は標的サイトの帯域幅を飽和させようとします。 攻撃の規模は*ビット/秒*(bps)で測定されます。

  • * UDPフラッド*-UDPフラッドは、リモートホスト上のランダムポートに多数のUDPパケット、より具体的にはポート番号53をフラッディングするために使用されます。 特殊なファイアウォールを使用して、悪意のあるUDPパケットを除外またはブロックできます。
  • * ICMPフラッド*-これはUDPフラッドに似ており、リモートホストを多数のICMPエコー要求でフラッディングするために使用されます。 このタイプの攻撃は、発信帯域幅と着信帯域幅の両方を消費する可能性があり、大量のping要求によりシステム全体の速度が低下します。
  • * HTTPフラッド*-攻撃者は、HTTP GETおよびPOSTリクエストを大量のターゲットWebサーバーに送信しますが、サーバーでは処理できず、正当なクライアントからの追加の接続が拒否されます。
  • 増幅攻撃-攻撃者は、大きなTXTレコードのDNS要求と、画像、PDF、またはその他のデータファイルなどの大きなファイルのHTTP GET要求を含む大きな応答を生成する要求を行います。

プロトコル攻撃

プロトコル攻撃には、SYNフラッド、Ping of Death、断片化パケット攻撃、Smurf DDoSなどが含まれます。 このタイプの攻撃は、実際のサーバーリソースと、ファイアウォールやロードバランサーなどの他のリソースを消費します。 攻撃の規模は Packets per Second で測定されます。

  • * DNSフラッド*-DNSフラッドは、インフラストラクチャとDNSアプリケーションの両方を攻撃して、ターゲットシステムを圧倒し、利用可能なネットワーク帯域幅をすべて消費するために使用されます。
  • SYN Flood -攻撃者は、標的となるマシンが処理できるよりも速くTCP接続要求を送信し、ネットワークが飽和状態になります。 管理者は、TCPスタックを調整して、SYNフラッドの影響を軽減できます。 SYNフラッドの影響を減らすには、スタックが接続に割り当てられたメモリを解放するまでタイムアウトを減らすか、ファイアウォールまたは iptables を使用して着信接続を選択的にドロップします。
  • Ping of Death -攻撃者は、単純なpingコマンドを使用して、不正な形式のパケットまたは大きすぎるパケットを送信します。 IPでは65,535バイトのパケットを送信できますが、65,535バイトを超えるpingパケットを送信するとインターネットプロトコルに違反し、ターゲットシステムでメモリオーバーフローが発生し、最終的にシステムがクラッシュする可能性があります。 Ping of Death攻撃とその変種を避けるために、多くのサイトはICMP pingメッセージをファイアウォールで完全にブロックしています。

アプリケーション層攻撃

アプリケーション層攻撃には、Slowloris、ゼロデイDDoS攻撃、Apache、WindowsまたはOpenBSDの脆弱性を標的とするDDoS攻撃などが含まれます。 ここでの目標は、Webサーバーをクラッシュさせることです。 攻撃の規模は Requests per Second で測定されます。

  • アプリケーション攻撃-これは、*レイヤー7攻撃*とも呼ばれ、攻撃者が過度のログイン、データベース検索、または検索要求を行ってアプリケーションを過負荷にします。 正当なWebサイトのトラフィックに似ているため、レイヤー7攻撃を検出するのは非常に困難です。
  • Slowloris -攻撃者は標的のWebサーバーに膨大な数のHTTPヘッダーを送信しますが、リクエストを完了しません。 ターゲットサーバーは、これらの各偽接続を開いたままにし、最終的に最大同時接続プールをオーバーフローさせ、正当なクライアントからの追加の接続を拒否します。
  • * NTP増幅*-攻撃者は、公的にアクセス可能なNetwork Time Protocol(NTP)サーバーを悪用して、User Datagram Protocol(UDP)トラフィックでターゲットサーバーを圧倒します。
  • ゼロデイDDoS攻撃-ゼロデイ脆弱性は、以前はベンダーに知られていなかったシステムまたはアプリケーションの欠陥であり、修正もパッチも適用されていません。 これらは、たとえばパッチがまだリリースされていない脆弱性を悪用するなど、日々発生する新しいタイプの攻撃です。

DDoS攻撃を修正する方法

DDoS攻撃の種類に応じて適用できるDDoS保護オプションはかなりあります。

DDoS保護は、システムで発生する可能性のあるすべてのOSおよびアプリケーションレベルの脆弱性を特定して終了し、可能性のあるすべてのポートを閉じ、システムから不要なアクセスを削除し、サーバーをプロキシまたはCDNシステムの背後に隠すことから始まります。

DDoSの規模が小さい場合は、DDoSベースのトラフィックをフィルターで除外するのに役立つ多くのファイアウォールベースのソリューションを見つけることができます。 しかし、ギガビット以上のような大量のDDoS攻撃がある場合は、より全体的で積極的かつ真正なアプローチを提供するDDoS保護サービスプロバイダーの助けを借りる必要があります。

DDoS保護サービスプロバイダーにアプローチして選択する際は注意する必要があります。 あなたの状況を利用したいサービスプロバイダーがたくさんあります。 DDoS攻撃を受けていることを通知すると、不当に高いコストでさまざまなサービスの提供を開始します。

WebサイトのAおよびCNAMEレコードを構成するのに十分な柔軟性を備えた優れたDNSソリューションプロバイダーを検索することから始まる、シンプルで実用的なソリューションを提案できます。 次に、大きなDDoSトラフィックを処理し、CDNパッケージの一部としてDDoS保護サービスを提供できる優れたCDNプロバイダーが必要です。

サーバーのIPアドレスがAAA.BBB.CCC.DDDであると仮定します。 その後、次のDNS設定を行う必要があります-

  • 以下に示すように、 ARECORDID などのDNS識別子を使用してDNSゾーンファイルに* Aレコード*を作成し、外部から秘密に保ちます。
  • 次に、CDNプロバイダーに、作成したDNS識別子を cdn.someotherid.domain.com のようなURLにリンクするように依頼します。
  • CDN URL cdn.someotherid.domain.comを使用して、2つのCNAMEレコードを作成します。最初のレコードは www を指し、2番目のレコードは@を指します。以下に示すように。

システム管理者の助けを借りてこれらのポイントを理解し、DNSとCDNを適切に構成できます。 最後に、DNSで次の構成を行います。

DNS設定

これで、CDNプロバイダーがすべてのタイプのDDoS攻撃を処理できるようになり、システムは安全なままです。 ただし、ここでの条件は、システムのIPアドレスまたはAレコード識別子を誰にも開示しないことです。そうでない場合、直接攻撃が再開されます。

クイックフィックス

DDoS攻撃はこれまで以上に一般的になっていますが、残念ながら、この問題を迅速に修正する方法はありません。 ただし、システムがDDoS攻撃を受けている場合は、パニックに陥らず、段階的に問題の調査を開始してください。

https://www.finddevguides.com/index.php?title=Ethical-hacking-ddos-attacks&oldid=19201」から取得
Powered by MediaWiki