ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
これを想像してください。 高校生のグループは、オフィスに電話をかけ、何度も電話を切ることで、学校をいたずらすることにしました。 学校の通信は停止します。 誰も実際にプリンシパルに到達できません。 これは、分散型サービス拒否攻撃で起こることとよく似ています。 マレファクターは、ボットの軍隊に参加して、ターゲットのサーバーをトラフィックで攻撃し、サーバーがそれ以上使用できないようにします。 DDoS保護サービスであるIncapsulaは、興味深いひねりを加えた大規模なDDoS攻撃を報告しています。 攻撃パケットは、他の2つのDDoS保護会社からのものです。
IncapsulaのIgal Zeifmanによるブログ投稿では、企業を特定せず、「1つはカナダに、もう1つは中国に拠点を置いている」と述べています。 両社は責任を認め、「責任者をサービスから除外しました」。 しかし、そもそもこれはどうして起こるのでしょうか?
洪水対増幅
昨年のSpamHaus DDoS攻撃では、DNS増幅と呼ばれる手法が使用されました。 攻撃者は、巨大な応答を返す小さなDNS要求を送信し、応答が被害者に届くように要求パケットを偽装します。 これにより、少数のサーバーで大規模なDDoS攻撃を仕掛けることができます。
しかし、Incapsulaの投稿は、この種の攻撃に対してネットワークを強化することは非常に簡単だと指摘しています。 必要なことは、サーバーが要求しなかったDNS情報のパケットを拒否するルールを定義することだけです。
問題の攻撃は、いかなる種類の増幅も使用しませんでした。 毎分15億の割合で、通常のDNS要求で被害者のサーバーを単にあふれさせました。 これらの要求は有効なトラフィックと区別できないため、サーバーはそれぞれを検査する必要があります。 投稿によると、このタイプの攻撃はサーバーのCPUとメモリを過負荷にし、増幅攻撃は帯域幅を過負荷にします。
どうやってそうなった?
Zeifmanは、DDoS保護サービスは、DDoS攻撃を 仕掛ける のに必要なインフラストラクチャを正確に備えていると指摘しています。 「これは、多くのベンダーが「外に出るもの」よりも「入ってくるもの」に関心があるという事実と相まって、大規模な非増幅DDoS攻撃を実行しようとするハッカーに適しています」とZeifmanは述べています。 「保護者を侵略者にする「詩的なひねり」を提供することに加えて、このような大洪水は非常に危険でもあります。」
このレベルでの攻撃には、典型的なサイバー犯罪ギャングがたぶん集めることができないリソースが必要であることは事実です。 最大のボットネットでさえ、1分あたり15億件のリクエストを達成できません。 Zeifmanによると、ソリューションは、それらをよりよく保護するためのリソースを持っている企業向けです。 「高性能サーバーへの無差別アクセスを提供するサービスプロバイダーは、犯罪者がこれらの制限を克服するのに役立ちます」とZeifman氏は述べています。 「この場合、セキュリティベンダーはハッカーの手に直接関与しました。」
IncapsulaのWebサイトで投稿全体を読むことができます。 また、この種の攻撃に必要な高性能サーバーを管理する数少ない人の1人になった場合は、セキュリティを慎重に検討する必要があります。