脅迫型DDoS攻撃、ランサムDDoS(RansomDDoS)

PLURA

概要

ランサムウェア(Ransomware)に続き、ランサムDDoS(Ransom DDoS)が猛威を振るっています。

ビットコインなどの金銭を支払わない場合、DDoS攻撃で企業のITインフラを麻痺させ、サービス運営に障害を引き起こすと脅迫する手口です。
カスペルスキーラボは「2017年第2四半期DDoSレポート」でランサムDDoSを主要トレンドに挙げています。
シスコも「2017年中間サイバーセキュリティレポート」で、脅迫型DDoS攻撃が世界的に増加していると発表しました。

DosおよびDDoS攻撃は、わずか数行のコマンドで対象サーバーに甚大な被害を与える非常に脅威的な攻撃です。
本記事では、DosとDDoSの概念、攻撃の種類、対応方法を詳しく説明します。

ransomddos

DosとDDoSの概念

Dos(Denial of Service)

  • サービス拒否攻撃として、正常なサービスを遅延させたり麻痺させたりするハッキング攻撃です。
  • 1台のPCが1つのサーバーを攻撃する1:1攻撃構造を持っています。

DDoS(Distributed Denial of Service)

  • 分散型サービス拒否攻撃で、Dos攻撃の拡張形です。
  • 複数のPCが1つのサーバーを攻撃するN:1攻撃構造を持っています。
  • C&Cサーバーを通じて攻撃者がゾンビPCを遠隔操作し、特定システムに同時多発的なトラフィックを発生させます。

DDos_Attack

DDoS攻撃の種類

1. TCP Syn Flood

TCPの3-way handshakeプロセスを悪用して、サーバーの接続要求を超過させる攻撃です。

TCP 3-way handshake

  1. クライアントがサーバーにSYNパケットを送信します。
  2. サーバーはクライアントにSYN-ACKパケットで応答します。
  3. クライアントがサーバーにACKパケットを送信し、接続が完了します。

TCP Syn Flood攻撃

  • 攻撃者は大量のSYNパケットを送信後、ACKパケットを送信しません。
  • サーバーはHalf Open状態でACKパケットを待機し、Backlog Queueが満杯になると正常な接続を処理できなくなります。

2. UDP Flood

UDPの非接続性および非信頼性の特性を悪用して、大量のUDPパケットを送信し、サーバーリソースを消費させる攻撃です。

3. TearDrop

パケット再構成プロセスでoffset値を改ざんし、受信者がパケットを再構成できないようにする攻撃です。

4. ICMP Flood

代表的な攻撃: Smurf攻撃

  • 攻撃者がvictimのIPを送信元としてICMP requestパケットをブロードキャストで送信。
  • ネットワーク内の全ホストがvictimにICMP replyを送信し、大量のトラフィックが発生します。

5. Ping of Death

正常なサイズを超えるICMPパケットを送信し、パケット再構成時にサーバーリソースを過度に消費させる攻撃です。

6. HTTP Flood

大量のウェブページリクエストを送信し、ウェブサーバーを過負荷状態にする攻撃です。

7. Cache Control Attack

HTTPヘッダーのキャッシュオプションを改ざんして、ウェブサーバーに負荷をかける攻撃です。

  • ‘no-store’: キャッシュにデータを保存せず、毎回サーバーにリクエストを送信。
  • ‘must-revalidate’: キャッシュされたデータを毎回検証する設定。

PLURAでランサムDDoS攻撃に対応する方法

ランサムDDoS攻撃は、ネットワークやウェブアプリケーションに深刻な影響を与える可能性があります。PLURAは統合セキュリティプラットフォームとして、さまざまなランサムDDoS攻撃に効果的に対応するソリューションを提供します。

1. PLURA-WAFでウェブベースのDDoS攻撃を遮断

  • PLURA-WAFはネットワークレベルでウェブアプリケーションに対するDDoS攻撃を一部遮断します。
  • HTTP FloodやCache Control AttackなどのウェブDDoS攻撃を検出し、悪意のあるリクエストを遮断してアプリケーションの可用性を維持します。

2. PLURA-EDRでランサムウェアのインストールを検知・遮断

  • PLURA-EDRはランサムウェアのインストールおよび実行を検知して遮断します。
  • DDoS攻撃とともにランサムウェアを拡散しようとする試みを防止し、エンドポイントを安全に保護します。

3. PLURA-SIEMの相関分析で精密な対応

  • PLURA-SIEMはさまざまなログとデータを統合し、相関分析を実施します。
  • ネットワークやアプリケーションで発生する異常なトラフィックパターン、ランサムウェアの検出、攻撃試行を相関分析してリアルタイムの対応戦略を提案します。
  • 分析結果を基に即時の防御措置を実行し、事後対応のための詳細なインサイトを提供します。

PLURAはWAF、EDR、SIEMの強力な統合ソリューションで、ランサムDDoS攻撃に効果的に対応し、企業のITインフラを安全に保護します。

Tags