DDoS 状況レポート: DDoS 攻撃は二極化している

最近、国内のネットワーク セキュリティ企業 NSFOCUS が 2015 年上半期の DDoS 脅威レポートを発表しました。報告書によると、最近のDDoS攻撃は二極化した状況を示している。大規模フロー攻撃は増加し続けており、インターネットバックボーンネットワークを脅かすのに十分であり（100Gを超える攻撃が33件）、クラウド攻撃に移行し始めている。同時に、小規模フロー攻撃は消えておらず（そのうち42.74％が1分未満）、主にさまざまな業界の無理なビジネス設計リンクを標的としたパルス攻撃やスロー攻撃に変化している。これらの攻撃は、ユーザーのビジネスを簡単に減速させたり、続行できなくしたりする可能性があります。さらに、レポートでは、さまざまな形式を組み合わせて使用​​する攻撃者が増えており、ユーザーが自衛することが困難になっていることがわかりました。これらのハイブリッド攻撃のうち、大規模なハイブリッド攻撃が最も一般的です (72%)。

大容量攻撃が増加しており、100Gを超える攻撃も増えています。

近年、米国連邦通信委員会 (FCC) CC はブロードバンドを再定義し、ダウンストリーム速度を 4Mbps から 25Mbps に、アップストリーム速度を 1Mbps から 3Mbps に調整しました。 2008年から2012年の4年間における世界のインターネット利用者の年間平均成長率は12％にも達しました。2013年にはインターネット利用者が人口の37.96％を超え、2015年には利用者数が30億人を超えると予想されています。

第12次5カ年計画以降、「ブロードバンド中国」戦略実施計画の推進に伴い、都市部と農村部の家庭のブロードバンドアクセス容量は徐々に毎秒20メガビット（Mbps）と4Mbpsに達し、一部の先進都市では100Mbpsに達しました。ブロードバンドは初めて国家戦略的な公共インフラとなりました。 CNNICの統計によると、中国の国際輸出帯域幅は非常に急速な成長傾向を示しています。同時に、中国のインターネット利用者数も大幅に増加し、過去5年間の平均成長率は7.2%で、2014年には6億5000万人近くに達した。

ブロードバンド規格の拡大と接続ユーザー（デバイス）数の増加は、ユーザーの利便性が向上する一方で、大容量DDoS攻撃が発生する条件を整えています。また、機器メーカーや消費者のセキュリティ意識向上の必要性も、DDoS増幅攻撃の発生を後押ししています。これらの要因は、DDoSリスクの増大に直接つながっています。

報告書のデータによると、大規模な DDoS 攻撃は 2015 年も引き続き増加しています。 2015 年上半期には、トラフィックが 100G を超える攻撃が少なくとも 33 件発生し、比較的独立した 6 つの IP アドレスに集中していました。全国分布で見ると、上位5都市は上海、成都、東莞、済南、天津です。

さらに、当社が長年にわたり通信事業者に提供してきたサービスのデータに基づくと、2015 年上半期には 100G を超える DDoS 攻撃の頻度が大幅に増加したこともわかります。ある事業者を例に挙げると、2015年に100G以上のトラフィックによる攻撃を受けたIPの数は1,675に増加し、攻撃件数は3,729件にまで増加しました。この計算に基づくと、100G以上の攻撃の総量は300Tを超え、インターネットバックボーンネットワークの正常な運用を脅かしています。この傾向は2014年に比べて増加しており、100Gを超えるトラフィックによって単一のIPアドレスが攻撃される回数も大幅に増加しています。 100G 未満の攻撃の総量はこの数をはるかに上回ります。

大規模な攻撃はクラウドに向けられ、クラウドベースの攻撃の形態が発生する可能性があります。

DDoS 大規模攻撃が増加する中、多くのユーザーがリスクから身を守るためにビジネスをクラウドに移行しています。クラウド コンピューティング技術の多くの利点により、クラウド サービスの普及が進んでいます。中国情報通信研究院の報告によると、中国のパブリッククラウドサービス市場規模は約72億元で、昨年比47.5％増加した。中国のプライベートクラウド市場の規模も拡大しています。2014年の国内プライベートクラウド市場の規模は約246億人民元で、成長率は約30％でした。

クラウド サービスの増加はユーザーに利便性をもたらしましたが、セキュリティにも 2 つの変化をもたらしました。1. 軽量クライアント。クライアントの本来のコンピューティングタスクはクラウドに大部分移行され、クラウド内のトラフィックはますます大きくなり、大規模な DDoS 攻撃に悪用されるようになります。2. 環境はより複雑になります。ビジネス環境が仮想化されるにつれて、より柔軟で変化に富んだビジネスから運用・保守管理まで、新たな不確実性が生じ続け、新しい形態の DDoS 攻撃の機会が生まれる可能性があります。これらの可能性のある攻撃ベクトルはレポートで分析されています。

ゲーム業界では、大規模な攻撃、特に UDP 攻撃が一般的になりつつあります。

大規模攻撃はさまざまな業界に影響を及ぼしています。近年の分析で、NSFOCUS の技術専門家は、ゲーム業界が大規模攻撃に対してますます脆弱になっていることに気づきました。 2014 年のレポートでは、この現象は「業界動向」と呼ばれ、攻撃者が推定利益に基づいてターゲットを選択するだけでなく、業界のビジネス特性に基づいて攻撃の形態を進化させていることを意味します。

2015 年上半期のデータによると、ゲーム業界は依然として DDoS 攻撃の主な標的の 1 つとなっています。ゲーム業界はユーザーベースが大きく、ユーザータイプも多様で、オンラインメンテナンスが難しいため、非常に脆弱なターゲット業界となっています。多くのゲームはプライベート プロトコルに基づいて開発されているため、従来の DDoS 防御対策では、ビジネス特性に合わせて調整しないと、DDoS 攻撃に対する防御が非常に困難になることがよくあります。

大手インターネット企業を例に挙げると、同社の多くの事業の中で、オンラインゲームは依然としてDDoS攻撃の主な標的（74.7%）であり、DNSサービスとWebサービスはそれぞれ15.1%と9.7%を占めています。各種サービスの分析を通じて、ゲーム事業以外にも、Webサービスやその他のサービスにおける大規模攻撃の割合も少なくないことがわかります。

少量高速攻撃がパルス攻撃に変化、国内外で実例あり。

大規模攻撃やクラウドベースの攻撃はますます一般的になるものの、小規模攻撃がなくなるわけではありません。逆に、一部の業界では、小規模トラフィック攻撃には特別な目的があります。大規模トラフィック (100G 以上) や超大規模トラフィック (500G 以上) と比較すると、1. これらの攻撃はトラフィック量が少ないため、業界の注目を集めません。2. これらの小規模トラフィック フローは大規模トラフィック フローに隠れているため、識別が困難です。3. 一部の攻撃は非常に短いため、保護装置で捕捉するのが難しく、攻撃プロセスを完全に示すのが困難です。これらの特性により、小規模トラフィック攻撃は攻撃者に放棄されません。 2015 年上半期には、0～30 分間の攻撃が前月比 4.52% 増加し、1 分未満の攻撃が全体の 42.74% を占めました。

これらの短い攻撃を組み合わせると、各ラウンドの合計攻撃時間は非常に短くなることがよくあります。統計によると、5 分未満で継続する攻撃は全体の 46% を占め、全体のほぼ半分を占めています。 Green Alliance の技術専門家は、この短期間の「電撃」攻撃を DDoS パルス攻撃 (ヒットアンドラン DDoS) に分類しています。

小規模トラフィックのスロー攻撃は、ビジネス ロジックの問題に焦点を当て、攻撃の原則と防御策を提示します。

小規模トラフィックの攻撃事例としては、ビジネス ロジックの設計上の問題を狙ったスロー 攻撃も代表的です。ゲーム分野の小規模で高速な攻撃とは異なり、このタイプの攻撃は、間隔が長く、プロトコル、トラフィック、ロジックの面で明らかな異常がなく、トラフィックフローが小さい低速の攻撃です。ただし、プロトコルまたはアプリケーションロジックの弱点をターゲットにし、通信時間を故意に延長し、接続リソースを占有し、サーバーの処理プロセスを増加させ、リソースを消費し、ターゲットのCPUリソース、メモリリソース、接続プールなどを使い果たし、最終的にサービス拒否を引き起こし、サーバーはユーザーからのアクセス要求を受け付けなくなります。

DDoS攻撃はますます巧妙化しており、スマートルーターは攻撃の温床となっている

DDoS 攻撃者は、目的を達成するために、複数の要素を組み合わせてさまざまな形式の攻撃を実行します。攻撃手段は絶えず更新され、ますます高度になり、「APT」特性さえ示しています。

攻撃作戦を多様化します。

DDoS は長年にわたって制御が困難でしたが、その理由の 1 つはビジネス モデルの多様性です。ビジネスモデルが発展し進化するにつれて、構造やビジネスプロセスはますます複雑になります。攻撃者はこれらのビジネス特性や起こり得る問題を常に追跡・分析しており、攻撃の形態もそれに応じて変化します。

攻撃トラフィックは多様です。

2015 年上半期のデータによると、DDoS 攻撃では、攻撃者は複数の攻撃方法と複数の種類の攻撃元を組み合わせて使用​​することが多いことがわかりました。 UDP 混合トラフィックが大部分を占め、72% に達します。前回の分析で示したように、これらのトラフィックの組み合わせはランダムではなく、ビジネスの特性に応じて変化します。

攻撃手段は多様です。

現在、ユーザーがインターネットに接続するために使用するデバイスはますます多様化しています。端末に関して言えば、もはやPCに限定されず、タブレット、携帯電話、テレビなどのスマート端末も含まれます。同時に、リフレクション・アンプリフィケーション攻撃により、DDoS攻撃に利用できるデバイスはもはや端末に限定されず、ルーター、プリンター、カメラ、スキャナーなどのスマートデバイスも含まれることが業界で明確に認識されました。

2014 年のレポートでは、世界中で悪用される可能性のあるスマート デバイスが 80 万台以上あると数えられていました。6 月のデータでは、レポートは世界中の SSDP プロトコル デバイスの分布を数えました。明らかに、2015 年も状況はあまり変わっていないため、SSDP プロトコルに基づく増幅攻撃は依然として横行しています。

これらのデバイスのメーカーには、関連パッチをリリースするか、関連ファームウェアをできるだけ早くアップグレードするよう呼びかけます。エンドユーザーも、常にアップグレード情報に注意し、できるだけ早くアップグレードして、対応する保護対策を講じ、悪用されて「攻撃者」にならないようにする必要があります。同時に、スマートデバイスの増加やトラフィック攻撃モードの混合により、従来のビジネスシナリオやアイデアでは、新しいモデルや新しいアプリケーションシナリオを考慮する必要があるかもしれません。

出典: Green Alliance Technology提供

原題: DDoS 状況レポート: DDoS 攻撃は二極化している

キーワード: