445 - [´・ω・`] relay-02.torproject.org 2022/10/03(月) 08:50:24.09 ID:3Ub7L2490
政府関連サイトがダウン、「宣戦布告」も…過剰反応は「低レベル」ハッカーの思うツボ
https://news.yahoo.co.jp/articles/47392d0108a2822b49a084e11954b7469e0a0efd
●DDoS攻撃用のURLリストや攻撃ツールは闇市で買える
DDoS攻撃への対応は、可能な限りの範囲で攻撃パケットを止め、必要ならサーバや回線を(緊急避難的に)増強し、ひたすら攻撃が収まるのを待つしかない。どんな大企業・組織でも、対症療法しか有効な手段がない。では予防はできるのだろうか? この検証の前に、DDoS攻撃の原理を簡単に説明しておく。
DDoS攻撃の原理は、標的サーバに大量のTCPパケットを送り付けるというもの。送信元を標的サーバに詐称し、接続リクエスト(SYN)、確認応答(ACK)などを行う。DNSサーバへの問い合わせ(ドメインの名前解決)やHTTP(S)のリクエスト(GET/POST)を大量に送り付ける方法もある。
UDPは、TCPのような接続(セッション)を確立せずとも標的にいきなり送り付けることができる。UDPは動画や音声のやりとり、各種の管理情報やマルチキャスト(アドバタイズと呼ばれる自身の情報やステータスを外部に共有させるための同報通信)に利用されるプロトコル。大量のデータをペイロードとした送信、あるいは大量のUDPパケット(ペイロードは小さくても良い)を送ることで、標的のリソースを消費させる。
攻撃パケットの送信元は、ハッカーが構築したボットを利用する。ボットネットワークはアンダーグラウンドで買うこともできる。
●DDoS攻撃の予兆はどう検知するのか
DDoS攻撃を予防するには、上記のパケットを素早く捉える必要があるのだが、攻撃元やボットに感染したデバイスやホストがどれなのかは事前に把握するのは簡単ではない。攻撃が始まらないと検知しようがないからだ。
事前に攻撃を検知できるとすれば、ダークウェブやアンダーグラウンドのチャットやメッセージルーム、ポータルサイト、あるいはソーシャルメディアの監視をすることになる。もちろん、AIやアルゴリズムによる自動化を行っていたとしても、予兆をタイミングよく検知できるとは限らない。
別のアプローチは、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)やNICT(国立研究開発法人情報通信研究機構)、アカマイなどのセキュリティベンダーや研究機関が発表するインターネットのモニタリングフレームワークを利用することができる。JPCERT/CCのTSUBAME、NICTのNICTER、通信事業者やセキュリティベンダーが定期的に発表する攻撃パケットの統計データから、ある程度の情報を得ることができる。