DDoS緩和

分散型サービス拒否攻撃の影響を軽減する方法

DDoS緩和とは、インターネットに接続されたネットワークに対する分散型サービス拒否（DDoS）攻撃の影響を、ターゲットネットワークと中継ネットワークを保護することで阻止または軽減するためのネットワーク管理技術とツールのセットです。DDoS攻撃は、サービスパフォーマンスの遅延やウェブサイト全体の停止など、企業や組織にとって絶え間ない脅威となっています。^[1]

DDoS緩和は、「トラフィックパターン」を分析することでネットワークトラフィックのベースライン状態を特定し、脅威の検出とアラートを可能にします。 ^[2] DDoS緩和では、人間によるトラフィックと人間に似たボットや乗っ取られたウェブブラウザを区別するために、着信トラフィックを識別する必要もあります。このプロセスでは、シグネチャを比較し、IPアドレス、Cookieのバリエーション、HTTPヘッダー、ブラウザのフィンガープリントなど、トラフィックのさまざまな属性を調べます。^[3]

攻撃が検出された後、次のプロセスはフィルタリングです。フィルタリングは、接続追跡、IPレピュテーションリスト、ディープパケットインスペクション、ブラックリスト/ホワイトリスト、レート制限などのDDoS対策技術を通じて行うことができます。^[4]^[5]

一つの手法は、潜在的な標的ネットワーク宛てのネットワークトラフィックを、「トラフィックスクラビング」フィルターを備えた大容量ネットワークに通過させることである。^[2]

多くの企業/組織では、攻撃規模が人的資源の限界を超えてしまうため、手動によるDDoS緩和はもはや推奨されません。^[6]DDoS攻撃を防ぐ他の方法として、オンプレミスまたはクラウドベースのソリューションプロバイダーを導入する方法があります。オンプレミスの緩和技術（通常はハードウェアデバイス）は、多くの場合、ネットワークの手前に配置されます。これにより、利用可能な最大帯域幅はインターネットサービスプロバイダーが提供する帯域幅に制限されます。^[7]一般的な方法としては、オンプレミスのフィルタリングとクラウドベースのソリューションを組み合わせたハイブリッドソリューションがあります。^[8]

攻撃方法

DDoS攻撃は、特定の被害者のウェブサイトやネットワークに対して実行されます。多くのベンダーが「DDoS耐性」ホスティングサービスを提供していますが、その多くはコンテンツ配信ネットワークに類似した技術に基づいています。分散処理により、単一の輻輳点を回避し、DDoS攻撃が単一の標的に集中するのを防ぎます。

DDoS攻撃の手法の一つは、設定ミスのあるサードパーティネットワークを利用し、偽装された UDPパケットの増幅^{[9]を可能にすることです。BCP}38 ^[10]およびRFC 6959 ^[11]に記載されているように、ネットワーク機器を適切に設定し、イングレスフィルタリングとエグレスフィルタリングを有効にすると、増幅とスプーフィングを防ぎ、攻撃者が利用できるリレーネットワークの数を減らすことができます。

DDoS攻撃は通常、ボリューム型攻撃、プロトコルベース攻撃、アプリケーション層攻撃の3つのタイプに分類されます。^[12]

ボリューム攻撃

これらの攻撃は、ネットワークやサービスを大量のトラフィックで溢れさせることで帯域幅を消費することを目的としています。^[13]

UDPフラッドはUDPパケットでランダムなポートをターゲットにし、ホストが存在しないアプリケーションを繰り返し検索し、ICMPエラーで応答する原因となります。^[14]
ICMPフラッド攻撃はping要求でターゲットを圧倒し、利用可能な処理能力と帯域幅を使い果たします。^[15]
DNS増幅は、オープンDNSリゾルバを悪用し、偽装されたリクエストを使用して増幅されたトラフィックを被害者に送信することを伴う。^[16]

プロトコル攻撃

これらは、通信プロトコルの動作を悪用してネットワークインフラストラクチャのリソースを使い果たすことに重点を置いています。

SYNフラッドはTCPハンドシェイクを悪用し、複数の半オープン接続を開始してサーバーの接続テーブルを圧倒します。^[17]
Ping of Death は、大きすぎる、または不正な形式の ping パケットを使用して、システムをクラッシュさせたり不安定にしたりします。
スマーフィング攻撃は、偽装された ICMP 要求をブロードキャストアドレスに送信し、ネットワーク上のすべてのデバイスに被害者の IP に応答するよう促します。

アプリケーション層攻撃

これらの攻撃は正当なトラフィックを模倣してアプリケーションサーバーのリソースを枯渇させるため、検出が特に困難です。^[18]

HTTPフラッドは大量のGETまたはPOSTリクエストを送信し、処理要求によってサーバーの負荷を高めます。^[19]
Slowloris は、部分的なリクエストをゆっくりと送信してサーバーのスレッドを使い果たすことで、Web サーバーへの多数のオープン接続を維持します。
DNSクエリフラッドは、急速なリクエストでDNSサーバーを圧倒し、正当なドメイン解決を妨げます。^[20]

緩和策

参照

参考文献

^ Gaffan, Marc (2012年12月20日). 「DDoS対策の5つの必須事項」. Wired.com . 2014年3月25日閲覧。
^ ab Paganini, Pierluigi (2013年6月10日). 「DDoS対策ソリューションの選択…クラウドベースのアプローチ」. Cyber Defense Magazine . 2014年3月25日閲覧。
^ 「2025年版グローバルボットセキュリティレポート」DataDome . 2025年11月20日閲覧。
^ Geere, Duncan (2012年4月27日). 「ディープ・パケット・インスペクションの仕組み」Wired.com . 2018年6月12日閲覧。
^ Patterson, Dan (2017年3月9日). 「ディープ・パケット・インスペクション：賢い人のためのガイド」. Techrepublic.com . 2018年6月12日閲覧。
^ Tan, Francis (2011年5月2日). 「DDoS攻撃：予防と緩和策」The Next Web . 2014年3月25日閲覧。
^ Leach, Sean (2013年9月17日). 「DDoS攻撃に対する4つの防御方法」Networkworld.com . 2018年6月12日時点のオリジナルよりアーカイブ。 2018年6月12日閲覧。
^ Schmitt, Robin (2017年9月2日). 「適切なDDoSソリューションの選択」. Enterpriseinnovation.net . 2018年6月12日時点のオリジナルよりアーカイブ。2018年6月12日閲覧。
^ ロッソウ、クリスチャン。「増幅DDoS」
^ Senie, Daniel; Ferguson, Paul (2000). 「ネットワークイングレスフィルタリング：IP送信元アドレススプーフィング」IETF.
^ McPherson, Danny R.; Baker, Fred; Halpern, Joel M. (2013). 「Source Address Validation Improvement (SAVI) Threat Scope」 IETF. doi : 10.17487/RFC6959 . {{cite journal}}:ジャーナルを引用するには|journal=（ヘルプ）が必要です
^ Nakutavičiōtė、Jomilė (2023-07-27)。「DDoS 攻撃: 意味、種類、防御」。NordVPN。
^ 「DDoS攻撃とは何か？ DDoSの意味、定義、種類」Fortinet . 2025年5月16日閲覧。
^ 「UDPフラッドとは | 軽減と防止のテクニック | Imperva」ラーニングセンター。 2025年5月16日閲覧。
^ 「Pingフラッドとは | ICMPフラッドDDoS攻撃 | Imperva」。ラーニングセンター。 2025年5月16日閲覧。
^ 「UDPベースの増幅攻撃 | CISA」www.cisa.gov 2019年12月18日2025年5月16日閲覧。
^ 「SYNフラッドDDoS攻撃」www.cloudflare.com . 2025年5月16日閲覧。
^ 「Think Topics | IBM」www.ibm.com . 2024年11月1日. 2025年5月16日閲覧。
^ 「HTTPフラッドDDoS攻撃」www.cloudflare.com . 2025年5月16日閲覧。
^ 「DNSフラッドとは | DDoS攻撃用語集 | Imperva」ラーニングセンター。 2025年5月16日閲覧。

[1] Gaffan, Marc (2012年12月20日). 「DDoS対策の5つの必須事項」. Wired.com . 2014年3月25日閲覧。

[CyberDefenseMagApproach-2] Paganini, Pierluigi (2013年6月10日). 「DDoS対策ソリューションの選択…クラウドベースのアプローチ」. Cyber Defense Magazine . 2014年3月25日閲覧。

[3] 「2025年版グローバルボットセキュリティレポート」DataDome . 2025年11月20日閲覧。

[4] Geere, Duncan (2012年4月27日). 「ディープ・パケット・インスペクションの仕組み」Wired.com . 2018年6月12日閲覧。

[5] Patterson, Dan (2017年3月9日). 「ディープ・パケット・インスペクション：賢い人のためのガイド」. Techrepublic.com . 2018年6月12日閲覧。

[NextWebDDOS-6] Tan, Francis (2011年5月2日). 「DDoS攻撃：予防と緩和策」The Next Web . 2014年3月25日閲覧。

[7] Leach, Sean (2013年9月17日). 「DDoS攻撃に対する4つの防御方法」Networkworld.com . 2018年6月12日時点のオリジナルよりアーカイブ。 2018年6月12日閲覧。

[8] Schmitt, Robin (2017年9月2日). 「適切なDDoSソリューションの選択」. Enterpriseinnovation.net . 2018年6月12日時点のオリジナルよりアーカイブ。2018年6月12日閲覧。

[9] ロッソウ、クリスチャン。「増幅DDoS」

[10] Senie, Daniel; Ferguson, Paul (2000). 「ネットワークイングレスフィルタリング：IP送信元アドレススプーフィング」IETF.

[11] McPherson, Danny R.; Baker, Fred; Halpern, Joel M. (2013). 「Source Address Validation Improvement (SAVI) Threat Scope」 IETF. doi : 10.17487/RFC6959 . {{cite journal}}:ジャーナルを引用するには|journal=（ヘルプ）が必要です

[12] Nakutavičiōtė、Jomilė (2023-07-27)。「DDoS 攻撃: 意味、種類、防御」。NordVPN。

[13] 「DDoS攻撃とは何か？ DDoSの意味、定義、種類」Fortinet . 2025年5月16日閲覧。

[14] 「UDPフラッドとは | 軽減と防止のテクニック | Imperva」ラーニングセンター。 2025年5月16日閲覧。

[15] 「Pingフラッドとは | ICMPフラッドDDoS攻撃 | Imperva」。ラーニングセンター。 2025年5月16日閲覧。

[16] 「UDPベースの増幅攻撃 | CISA」www.cisa.gov 2019年12月18日2025年5月16日閲覧。

[17] 「SYNフラッドDDoS攻撃」www.cloudflare.com . 2025年5月16日閲覧。

[18] 「Think Topics | IBM」www.ibm.com . 2024年11月1日. 2025年5月16日閲覧。

[19] 「HTTPフラッドDDoS攻撃」www.cloudflare.com . 2025年5月16日閲覧。

[20] 「DNSフラッドとは | DDoS攻撃用語集 | Imperva」ラーニングセンター。 2025年5月16日閲覧。