戻る

DDoS – 知恵の負け戦

著者注 by マーク・ハリス 2017 年 7 月 12 日

私たちは、DDoS (分散型サービス拒否) 攻撃がオフラインになるサイバー セキュリティの暗黒時代に陥っています。 現在、最も適切に設計され、管理されているネットワークでさえ、DDoS 攻撃に対して脆弱です。 増加する DDoS 攻撃に効率的に対応できず、いたちごっこを絶え間なく続けているようです。

DDoS の傾向は良くないようです。 まず、BBC が 602 Gbps の攻撃によってダウンし、その後 DDoS 攻撃が自身を 1.2 Tbps が Dyn を離陸. Miria ボットネットと Leet ボットネットの XNUMX つが主な原因でした。 これらの攻撃はすぐになくなるわけではないため、月ごとにボリュームが増加します。 セキュリティで保護されていないインターネット ファブリックと、保護されていない数百万の IP 対応 IoT オブジェクトの導入を組み合わせます。 これはかなり無謀な出発点を提供し、テラバイト規模の攻撃の新時代を可能にします。

これから起こることの厳しさは、私たちがすでに見てきたものよりもはるかに巨大なものになるでしょう。 このレベルは私たちが対処できたものではありません。 既存のソリューション メカニズムは劇的に不足する.

私たちは何が必要なのか?

検出と軽減だけでなく、完全に統合されたソリューションが必要です。 パズルの最後のピースは、 エンドツーエンドのトラブルシューティング. チームのコラボレーションは、高度な異常検出に使用される高度な機械学習アルゴリズムと同じくらい重要です。

全体のプロセス ネットワークのマッピング また、DDoS 攻撃のトラブルシューティングは、XNUMX つの完全なソリューションを形成するために、検出と軽減の両方を行うアプリケーション プログラミング インターフェイス (API) である必要があります。 これは、DDoS 攻撃に効果的に対抗する唯一の方法です。

DDoS とは何ですか?

DDoS の種類にはさまざまな形があり、スタックの下位で動作するものもあれば、レイヤー 7 の上位で動作するものもあります。新しいスタイルの DDoS 攻撃の多くは、OSI モデルのさまざまなレイヤーでの攻撃の組み合わせと並行して動作します。

多くの場合、それらは一方的なものではなく、別のより危険なバックドア攻撃を発生させる煙として機能するだけです。 このような攻撃の例としては、運用チームをさらに混乱させ、パイプをいっぱいにして、より致命的に遅い Hypertext Transfer Protocol (HTTP) を使用する大量のボリューム攻撃が考えられます。 攻撃はバックグラウンドですべてのダメージを与えます。

DDoS攻撃

DDoS の種類に関係なく、それらはすべて同じ目的を果たします。つまり、標的のサービスをオフラインにして、正当な接続に応答できないようにすることです。 ボットネットの最初のタスクであっても、攻撃は常に可視化されています スキャンを実行すると、システム内の検出を通知できます。

ボットネット

ボットネット (ゾンビ アーミーとも呼ばれます) は、破壊的な DDoS 攻撃を開始するために使用される、侵害されたインターネット接続デバイスの数です。 知らないうちに、侵害されたマシンがプールされて、DDoS 攻撃の XNUMX つの大きなファブリックが形成されます。 Mirai ボットネットは、セキュリティが不十分なルーターや大量の IP カメラなど、セキュリティで保護されていない何千もの IoT (モノのインターネット) デバイスで構成されています。

ボットネットはそれ自体では何もできず、隠しチャネルを介してコマンドに接続し、サーバー (C2/C&C) を制御してアクションのリストを取得する必要があります。 感染したクライアントはサーバーに接続して、HOLD、TCP、UDP、JUNK などのコマンドのリストを受信し、これらのコマンドを切り替えてペイロード ジェネレーターを使用するため、検出が困難になります。 最近では、 新しい Mirai ボットネット 無人の米国大学サーバーに対してアプリケーション攻撃を開始しました。 平均トラフィック フローは 30,000 リクエスト/秒 (RPS) で、ピークは 37,000 RPS でした。

DDoS 攻撃を増幅しているのは誰ですか?

これらの攻撃の背後にいるのは誰で、なぜそれを行っているのでしょうか? 主な目標は XNUMX つあります。XNUMX つは、ハクティビズム、破壊行為、またはサイバー戦争として知られる政治的またはイデオロギー的信念のためのものです。 もう XNUMX つは、DDoS の雇用、強要、身代金として知られる金銭的な理由が純粋な動機です。

DDoS デジタル マップ

この DDoS デジタル マップ 現在発生している DDoS 攻撃をリアルタイムで表示します。 攻撃は、タイプ (TCP 接続、ボリューメトリック、フラグメンテーション、およびボリューメトリック) に基づいて色付けされます。 また、ソースとデスティネーションに基づいて最も参加している国が点線で表示されます。

主な原因?

  • クラウドにプッシュ: 私たちは、クラウド時代に向かってアプリケーションが急速に変化する時代を目の当たりにしています。 企業は、クラウドの事前に構築されたグローバル フットプリントを利用して、Office 365 などのソフトウェア パッケージを使用して IT へのソフトウェアとしてのサービス (SaaS) アプローチに移行しています。そして交通管理。 これはセキュリティ パラダイムを変更し、セキュリティの再評価を必要とします。
  • セキュリティ境界: クラウドのモデルは、セキュリティ境界を変更し、攻撃の侵入に新たな道を開きます。 セキュリティ境界は、もはや静的ではなく、特定の地域に限定されたものでもありません。 それは新しいサードパーティに拡散され、それによって新しいドアが分割されて開き、DDoS の攻撃面になります。
  • IoT: IoT は、日常のオブジェクトが相互に通信できるようにします。 これは次の産業革命と呼ばれ、間違いなく私たちのコミュニケーションの文化を変えるでしょう。 IP 対応のオブジェクトは、個人の生活や都市をより効率的にします。 残念ながら、新しく IP 対応デバイスの多くはセキュリティがほとんどまたはまったくありません。 電球のような小さなオブジェクトは非常に軽量であるため、あまり多くのセキュリティを取り付けることはできません。 自動的にスリープ状態になる遠く離れたデバイスに定期的にパッチを適用することも課題になります。 何百万もの IoT オブジェクトを組み合わせて、セキュリティをほとんどまたはまったく持たずに巨大なボットネットにすることで、DDoS を新しいレベルに引き上げることができます。
  • ルールへのライセンス: ネットワーキングの芸術では、さまざまな種類のネットワーク設計が紹介されています。 優れたセキュリティで設計された一部のネットワークにつながるライセンスやルールはありません。 これにより、攻撃者が侵入して発射台として使用するための出入り口として、DNS プロキシなどの重要なコンポーネントが広く開かれたままになります。 より一般的には、ホーム ユーザーのゲートウェイとオープン DNS プロキシが、DNS 増幅攻撃を開始するために使用されていることに気付きます。 DNS は、不均等なパケット サイズ、小さな DNS クエリ、および大きな応答に依存しています。 これは、攻撃者にとって完璧な遊び場を提供します。 攻撃者は、スプーフィングされたホストから多数の小さなパケットを送信して、DNS サーバーに、予期しないホストを圧倒する大きな DNS パケットで応答させることができます。

負け戦?

よく見ると、いたるところにセキュリティの穴があります。 問題は、ネットワーキングの基盤と、それを保護する方法にあります。 インターネットはグローバルなアクセシビリティに基づいており、そのファブリックを構築するプロトコルは当初、セキュリティを考慮せずに設計されました。

グローバルなアクセシビリティとは、遠く離れた場所にいる誰かの IP アドレスに対する権限を持つことを意味します。 これは通信の基盤であり、残念なことに、誰かの IP アドレスを知っていれば、そのシステムに攻撃を仕掛けることもできます。 これにより、必要に応じて誰でも攻撃を計画できる非常に大規模なグローバル プラットフォームに攻撃対象領域が配置されます。

後で追加されたセキュリティ メカニズムは、ネットワークへのクラッジとしてのみ機能するため、複雑さが増します。 IPsec は、抽象化できる多くの荷物を伴う機能を搭載したスイス軍です。

私たちはどのように対処していますか?

では、これらの停止による苦痛を軽減するために、ネットワークとセキュリティの両方にどのような変更を加えることができるのでしょうか? さて、DDoS の検出と緩和の領域には、ギャップを埋めることができる多くの新しい興味深いメカニズムがあります。 攻撃を制限するために考案されたいくつかのメカニズムを確認してみましょう。

DDoS 緩和の進歩

緩和の最前線では、セキュリティ分離などの新しい概念により、緩和デバイスから状態を削除する新しい手法が導入されています。 状態を削除すると、この規模以上の適切な保護が可能になります。 緩和デバイス アプライアンスに状態があると、保護できないレベルまでパフォーマンスが低下します。

ネットワークのどこにでも状態があるとパフォーマンスが低下しますが、特に、パケットを転送する必要のないアプライアンスに状態があると意味がありません。 セキュリティの分離は、実際の転送の外部にあるアプライアンスの外に状態を移動します。

DDoS 検出の進歩

検出の面では、高度な機械学習技術が迅速な検出に役立っています。 現在の異常ベースの検出システムは制限されており、新しいタイプの攻撃を検出できません。 Navies、Bayes、C4.5、SVM、KNN、K-means、Fuzz などの機械学習技術は、攻撃を検出する高度な方法を提供します。 これらのソリューションの変更で十分でしょうか?

効率的なトラブルシューティングの必要性

これらの新しいメカニズムはすべて興味深いものですが、時間内に問題を効果的にトラブルシューティングできなければ役に立ちません。 トラブルシューティングは単なる技術的な操作ではありません。 これは、多くのチームをまとめて合理化されたプロセスにする全社的なリソースです。

最も高度な検出ソリューションは数秒でイベントを知らせることができますが、トラブルシューティングに数時間かかる場合は、検出システムを持っていない可能性があります. 同様に、高性能の緩和ソリューションの場合、トラブルシューティングができなければ、ネットワークにすべての馬力を持っていても意味がありません。

DDoS の検出と緩和の進歩は非常に重要ですが、ネットワーク マッピングと トラブルシューティング DDoS ソリューション全体を引きずり下ろさないようにするためです。

閉会のコメント

私たちは DDoS の戦いに敗れつつあり、すべてのコンポーネントを結び付けない限り、負け続けることになります。 完全なソリューションでは、あらゆる角度からセキュリティに対処する必要があります。 これは、緩和または検出アプライアンスの観点からだけでなく、DDoS 攻撃を効率的に阻止するために会社のトラブルシューティング プロセスが必要です。

関連記事