IIJでは広報誌「IIJ.news」を隔月で発行しています。本blogエントリは、IIJ.news連載コラム「インターネット・トリビア」を転載したものです。IIJ.newsはご希望者へ郵送でお送りしています。また、IIJ Webでも記事をご覧頂けます

IIJ.news vol.171 もくじ

IIJ.news vol.171

  • ぷろろーぐ「環境を変貌させてきたツケ」 / 鈴木 幸一
  • 特別対談 人となり
    大和ハウス工業株式会社 代表取締役社長 芳井 敬一氏
    株式会社インターネットイニシアティブ 代表取締役社長 勝 栄二郎
  • Topics ABWでオフィス改革
    • 変化するオフィスのあり方とIT
    • ABWでオフィスが変わる!~オフィスとテクノロジーの切っても切れない関係
    • ここから始まるABW KADOKAWA所沢キャンパス
    • オフィス移転ソリューションをワンストップで提供
    • 企業価値を向上させるDWP
  • 人と空気とインターネット: YouTube係 / 浅羽 登志也
  • インターネット・トリビア: DDoSにも種類がある ※この記事で掲載
  • グローバル・トレンド: ニューヨーク発セキュリティ意識向上トレーニングサービス
  • コラム: パラアスリート 笹島貴明のROAD to PARIS / 笹島 貴明

それぞれの記事はWeb版 IIJ.newsでお読み頂けます。

インターネット・トリビア: DDoSにも種類がある

残念なことに現在のインターネットは、日常的にサイバー攻撃が飛び交う状況になっています。なかでも大量のデータを送りつけ、相手のサーバを正常に稼働できなくするDoS攻撃は、規模の大小はあれど、毎日多数観測されています。

「DoS」とは「Denial of Service」の頭文字をとったもので、直訳すると「サービス拒否」となり、「大量のデータを送りつけることで、正常なサービス提供を拒否させる」攻撃と解釈できるでしょう。DoS攻撃のバリエーションの一つに、攻撃者が多数のコンピュータを並行利用する「DDoS攻撃」があります。

頭文字の「D」は「Distributed」、つまり「分散された攻撃元によるサービス拒否攻撃」ということです。

DoS・DDoSとは、攻撃者が使用するコンピュータの状況に着目した分類ですが、被害を受ける側から見ると、どうなるでしょうか。

DoS攻撃のターゲットはインターネット上に公開されているWEBサービスなどですが、攻撃対象はWEBサーバだけとは限りません。わかりやすいのが、サーバをインターネットにつなぐ通信回線です。通信回線は、例えば1Gbpsといったふうに通信速度が決められています。この速度とは、一定の時間内(1秒間)に一定量(1ギガビット)のデータを流せるという意味です。そこで、1秒間に1ギガビットをはるかに超えるデータを送りつければ、正常な通信も巻き込んで、通信回線を利用不可能にすることができます。この時、トラフィックグラフを見ると、通信速度の上限いっぱいにグラフが張りついているのが確認できるでしょう。

一方、トラフィックグラフの盛り上がりがそれほどでなくても、通信できなくなることもあります。この場合、通信回線が接続されたルータが狙われ、サイズの小さなパケットを大量に送りつけられた可能性があります。ルータには一定時間に処理できるパケット数の上限があり、それを超えると処理が 滞り、通信困難に陥ってしまいます。一つひとつのパケットのサイズが小さいため、通信量がそれほど大きく見えないので、トラフィックグラフだけを見ていてもわかりにくいかもしれません。

通信回線やルータだけでなく、サーバ本体が狙われることもありますが、サーバのどこを狙うかによって、いくつかパターンがあります。一つの方法はサーバが稼働しているOSを狙うことです。LinuxなどのOSはネットワークからやってきた接続要求パケットを受け取って、通信開始の処理を行ないますが、接続要求だけを大量に送りつけてOSの動作を妨害する手法があります。これは接続要求パケットを投げ続けるだけでいいので、攻撃側にとって負荷が軽いのが特徴です。

また、実際に通信を開始し、サーバにひたすら処理を行なわせる手法もあります。これはサーバに対する通信プログラムを大量に実行すればいいだけなので、知識のない攻撃者にも簡単です。一番わかりやすいのは、WEBブラウザを起動して再読込ボタンを押し続ける「F5アタック」です。この場合、OSよりもWEBサーバのプログラムの負荷が上昇しやすく、CPU負荷の上昇やメモリ不足といったかたちで気づくことが多いと思います。

攻撃をさらに効果的にするために、サーバ上での“重い”処理を狙ってリクエストを大量に送りつける方法もあります。例えばECサイトで複雑な条件をつけて商品を検索するとデータベースに高い負荷がかかります。攻撃者がそうした処理を狙ってリクエストを送りつければ、より効果的にDoS攻撃が加えられます。これなどは、WEBサーバというより、アプリケーションサーバやデータベースサーバを狙った攻撃に分類できるかもしれません。

このように、一口にDoS攻撃と言っても、攻撃によって影響を受ける箇所はさまざまです。DoS攻撃を受けてしまった時は、どういった攻撃が行なわれているのか、どの機器が影響を受けているのかを正しく把握し、対応する必要があります。