Web テクノロジ: 政府は DDoS 攻撃を阻止できるのか
DDoS 攻撃は、Web の世界とは切っても切れない関係にあります。その影響を全面的に回避することはできませんが、脅威を緩和するための対策はあります。
Will Hogan
2010 年 12 月 8 日に、ハッカーの一味が Visa と PayPay の Web サーバーに対して分散型サービス拒否 (DDoS) 攻撃を仕掛けました。また、ほぼ同時期に、ハッカーがスウェーデン政府の公式 Web サイトに攻撃を仕掛けるという事件が発生しました。どちらの攻撃もおおむね成功しました。これらのサイトで提供していた全サービスは、深刻な影響を受けました。
全世界を相手にビジネスを展開している Visa のような大企業が、このような攻撃を阻止できないとなると、政府や政府機関が所有している Web サーバーに、このような攻撃が仕掛けられた場合、政府は攻撃を阻止できるのでしょうか。一言で言ってしまえば無理でしょう。と言うよりも、おそらく無理でしょう。
このような攻撃からサーバーを保護するのが難しい理由を理解するには、DDoS 攻撃の詳細を理解し、サービス拒否攻撃 (DoS) とどのように違うのかを考慮する必要があります。このような攻撃に対する準備とインフラストラクチャを保護する対策について考慮するのは、それからです。
殺到する接続
コンピューターには、同時接続数に制限があります。Windows を実行しているコンピューターまたはサーバーに対して一度に確立できる接続数は 65,535 です。これは興味深い制限です。また、標準的な DoS 攻撃の基盤となっているため、重要な意味を持っています。
1 人または複数のハッカーが、1 台のサーバーに対して 65,535 個の同時セッションを確立できれば、そのサーバーで提供しているサービスを他のユーザーが使用できないようにすることが可能です。確立されている接続の一部が切断されるまで、だれもサーバーに接続できません。Web サーバーで、このしきい値に達すると、それ以上接続を受け付けられないので、サービス拒否攻撃が成立します。
一般的に、DoS 攻撃には 2 種類あります。システムをクラッシュさせることを目的としたもの (ping of death など) とリソース (帯域幅、プロセッサ時間、ディスク領域) の要求によってシステムを氾濫させることを目的としたものです。どちらも、独自の方法でシステムに打撃を与えます。
ルーターは、ping 要求やブロードキャストに応答しないように構成したり、ブロードキャスト アドレスに送信されたパケットを転送しないように構成したりできます。最新の IP フィルタリング デバイスでは、一定量を超える ping を削除することで、このような脅威を緩和できます。また、特定の IP アドレスからの同時接続数を制限することもできます。
同時接続数を低く設定できる場合 (たとえば、5 または 6)、同時接続数を制限することは DoS フラディング攻撃に対して有効です。DoS 攻撃を成立させるのに与えるのに十分なリソース要求を行うには、1 つの組織で編成できるよりも多くのハッカーが協力する必要があります。そのため、DoS 攻撃を仕掛けるハッカーは、別の攻撃方法を見つける必要がありました。
DDoS 攻撃では、ハッカーは、この制限を回避できます。DDoS 攻撃では、ハッカーは、各自の PC から DoS 攻撃を仕掛けるのではなく、ゾンビ エージェントを配置したゾンビ コンピューターのネットワークを使用します。その結果、ハッカーは、このようなコンピューターから DDoS 攻撃 (通称、ボットネット) を仕掛けることができます。1 人のハッカーは、数千台ものゾンビ コンピューターを制御して、コンピューターの所有者のあずかり知らぬところで、各コンピューターから Web サーバーに 5 ~ 6 個の接続を確立することができます。
少数のハッカーが協力すれば、簡単に正当なユーザーのアクセスを拒否したり、システムをクラッシュさせることができます。最新の IP フィルタリング テクノロジでも、このような攻撃を阻止することはできませんが、このような攻撃に対して何かできることはないのでしょうか。
攻撃を緩和する対策は次のとおりです (攻撃を阻止できない理由も含めました)。
- すべてのコンピューターの OS とアプリケーションが、マルウェアの感染から完全に保護されるようにする。これは名案ですが、実用的ではありません。実現できたとしても、困ったユーザーが、迷惑メールを開いて、添付物をダブルクリックして、トロイの木馬をインストールすることは回避できません。
- Web サービス アプリケーションを世界各地にある独立した多数のサーバーにインストールする。ハッカーが各サーバーに対して攻撃を仕掛けることはできますが、すべてのサーバーがダウンする可能性はわずかです。
- Web サービス アプリケーションを 1 つの場所にある独立した多数のサーバーにインストールする。これらのサーバーのフロントエンドに負荷分散装置を配置します。コストが高くなる可能性はありますが、提供しているサービスが重要な場合、サービスが攻撃の対象にならないことは、サービスをホストしている組織にとって、どれほどの価値があるかを考えてみてください。
DDoS 攻撃は発生します。政府であっても、間逃れることはできません。2010 年の夏には、アイルランドの中央申請事務所 (CAO: Central Application Office) のサーバーは DDoS 攻撃の被害を受けました。イランでは、2009 年の選挙期間中に、イラン政府の公式 Web サイトが攻撃を受けて、アクセスできなくなりました。2001 年には、アイルランド政府の財務省のサーバーが DDoS 攻撃を受けました。
現時点では、DDoS 攻撃を確実に阻止する方法はありません。ですが、ミッション クリティカルな Web サービスについては、なんらか対策を講じる必要があり、手をこまねいているのは得策ではありません。とにかく、組織を保護するための最善の戦略を判断する必要があります。
.jpg)
Will Hogan は、Traffic IQ Professional を開発した Idappcom Ltd. の代表取締役です。