X

クラウド・セキュリティの考え方、コンプライアンス、製品・サービス(データベースセキュリティ・IDaaS・WAFなど)

多層セキュリティによるレイヤ7 DDoS攻撃の防止

原文はこちら (著者 : Laurent Gil)
https://blogs.oracle.com/cloud-infrastructure/stop-layer-7-ddos-attacks-with-multilayered-security


従来型のサイバー攻撃はますます自動化されており、これは特に分散型サービス拒否(DDoS)攻撃および同様の攻撃があてはまります。これらの攻撃への対応も自動化する必要があります。

大手テクノロジインフラストラクチャ企業が使用する重要なSaaSのWebサイトを運営する組織に対するボットネット主導のDDoS攻撃を防ぐために、Oracle Cloud Infrastructure Web Application Firewall (WAF)は自動化と多層での検出と緩和アプローチを使用しました。

Oracle Cloud Infrastructureのヘテロジニアス・エッジ・ネットワークは、世界中に分散した大規模アプリケーションの拠点と超大容量のDDoS攻撃対策スクラビングセンターの組み合わせであり、このレイヤ7 DDoS攻撃を軽減するうえで重要な役割を果たしました。攻撃が特定のしきい値に達すると、DDoS攻撃対策スクラビングセンターが開始します。

攻撃の分析

アプリケーション層(レイヤ7)のDDoS攻撃は、大量のゴミトラフィックをWebサイトに送信するためにボット・ネットワーク(ボットネット)を使用します。このトラフィックの唯一の目的は、Webサーバーにリクエストをあふれさせることです。通常、特にレイヤ7 DDoS攻撃の場合、ボットは人間の活動をシミュレートすることによってサイトにアクセスしようとします。時にはコマンドラインツールのApache Benchmarkと同じくらい簡単なものもあります。この場合、人が実際のWebブラウザを介してサイトにアクセスする動作とは異なります。

レイヤ7 DDoS攻撃の目的は、アプリケーションサーバに大量アクセスを行い、アプリケーションの利用を不可にする、または少なくともその応答時間を悪化させることです。この種の攻撃は、他の悪意のある洗練された攻撃を隠し、より大きなイベントの前段としてアプリケーション防御機能をテストするために実行されることがあります。

この攻撃では、通常1秒あたり50のリクエストを受信するWebサイトが、数分間で1秒あたり2,800を超えるリクエストを受信しました。これは、数分で100万要求に達し、約150 Mbpsのトラフィックとなり、通常より2桁大きくなりました。

全体で100万件のリクエストと、秒間2,800件のリクエストは大規模ではありません。Oracle Cloud Infrastructure WAFは秒間50万件以上のHTTPリクエストを生成する攻撃から顧客を保護した実績もあります。しかし、多くの場合、サイトをダウンさせるのに十分な量です。

次のグラフは、通常の日(10月31日、攻撃の前日)にサイトに送信された1秒あたりのリクエスト数を示しています。

次のグラフは、攻撃当日の1秒あたりのリクエスト数を示しています。

全体としては、ボットネットは数分以内に100万のリクエストを行うために数カ国に分散したIPアドレスを使用しました。そのような攻撃は、サイトを破壊するのに十分すぎるほどだったでしょう。

攻撃への対処策

この攻撃は、JavaScriptチャレンジと呼ばれる防御メカニズムを使用して、Oracle Cloud Infrastructure WAFのボット管理機能によって緩和されました。設計上、セキュリティプラットフォームは攻撃を自動的に確認すると、防御メカニズムを自動的に有効にします。

セキュリティプラットフォームは、Oracle Cloud Infrastructureの大規模なエッジネットワークを使用して、リバースプロキシでエンドユーザーからの各リクエストに軽量なJavaScriptを挿入します。JavaScriptは、エンドユーザーのブラウザに完全なJavaScriptエンジンが搭載されているか調べて確認します。正常なブラウザからのトラフィックを許可しながら、DDoSを専門とするボットネットの典型である不完全なブラウザからのトラフィックを排除します。

次の図は、1,071,261件のリクエスト(攻撃の99.9パーセント)がOracle Cloud Infrastructure WAFによって自動的に検出され軽減されたことを示しています。

 

Oracle Cloud Infrastructure WAFには、リアルタイムの行動分析など、ボットトラフィックを識別およびブロックするための他の高度な機能もあります。 

自動化の重要性

この攻撃からサイトを保護するためには、自動化が重要でした。ボットマネージャーがリクエストの急増に気付いたとき、ボットマネージャーは自動的に対策防御の1つ(JavaScriptチャレンジ)を選択して有効化、チャレンジに失敗したリクエストをブロックしました。セキュリティオペレーションセンター(SOC)のアナリストは攻撃を阻止するために何もする必要はありませんでした。攻撃は深夜に行われたため、良いニュースです。

自動化しなければ、リクエストの数が劇的かつ急速に増えたため、サイトはダウンしていました。1秒間に平均50件のリクエストのために構築された典型的なサイトは、1秒間に2,800件のリクエストに耐えることができません。

さらに、サイトが停止した場合、ボットネットを特定するのは困難でした。SOCアナリストはログを見なければならなかったでしょうが、彼らはトラフィックの大幅な増加以外に何も悪いことは見ていなかったでしょう。彼らはそれがおそらくボットネットであることを分かりますが、どのトラフィックがボットから来たのか、そしてどのトラフィックが正当であるのか、またはそれをブロックする方法を遡って特定する方法はありません。

攻撃が数個のボットのみから行われた場合、1秒あたり2,3件を超えるリクエストを行うアドレスをブロックする、IPレート制限が効果的な対策となります。しかし、この攻撃では、ボットネットは大量のボットとIPアドレスを使用し、個々のアドレスからのリクエストの数は非常に少なくなっていました。

ボットネットのIPアドレスからの位置情報の分布を注意してみてください。

多層のアプローチ

攻撃を確認するのにかかる時間は、しばしば少しの攻撃漏れをもたらすことに注意することは重要です。この攻撃では、100万件のうち約6万件のリクエストがボットマネージャーによってブロックされませんでした。

これは仕様によるものです。ボットマネージャーは、攻撃が確認されたときにのみ機能します。つまり、自動的にトラフィックのブロックを開始する前に、立て続けに失敗した多くのリクエストが待機しています。

これら6万件のリクエストはすべて、Oracle Cloud Infrastructureのエッジネットワークからのボットマネージャーのキャッシングレイヤによって処理されました。リクエストはどれもオリジンに送信されませんでした。その結果、オリジンサーバーは攻撃の影響を受けず、会社のWeb資産も影響を受けませんでした。

Oracle Cloud Infrastructure WAFは、以下の2つの理由で顧客のWebサイトのコンテンツをキャッシュします。

  • パフォーマンスの向上:ページの内容をすでに分かっているのであれば、オリジンサーバーにそれを要求する必要はありません。
  • 攻撃からの保護: キャッシングはセキュリティチームによって見落とされがちですが、レイヤ7 DDoS保護の重要な要素です。

レイヤ7 DDoS攻撃は多発しています。攻撃者にとって、それらは多くの目的を果たすことができます。重要な期間にeコマースの競争を排除したり、サイトの所有者を強要したり、場合によってはより深刻な攻撃を行うためのスモークスクリーンとして利用します。

統一された分散プラットフォームからもたらされる連鎖的なチャレンジを使用することで、レイヤ7 DDoS攻撃を軽減することが可能です。サイトの所有者は、オリジンリソースが影響を受けてサイトがオフラインになる前に、ボットネットトラフィックがエッジで阻止されるようにすることができます。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.