分散型サービス拒否(DDoS)攻撃とは、複数のマシンから大量のトラフィックを浴びせてサービス(通常はウェブサイト)を利用できなくし、サービスを提供しているサーバが正常に機能しなくなるようにする攻撃のことです。
DDoS攻撃は、1台のコンピュータとそのインターネット接続を利用して標的となるシステムにパケットを殺到させるサービス拒否(DoS)攻撃とは異なり、多数のコンピュータとそのインターネット接続を利用して行われます。これらのコンピュータは、多くの場合、所有者の知らないうちに侵害され、ボットネットを形成してグローバルに分散しています。
一般的に、攻撃者はシステムを大量のトラフィックで飽和させ、新たなトラフィックを受け入れられなくしたり、速度を低下させて事実上使用できなくしたりします。
DDoS攻撃は3つのカテゴリーに分類されます。
- プロトコルベースの攻撃 – SYNフラッド、Ping of Deathなど。これらの攻撃は、ICMPやTCPなどのインターネットプロトコルのバグや弱点を利用してリソースを消費しようとするものです。これらの攻撃に対処するためには、ネットワーク機器に完全なパッチを適用し、正しく設定することが最善の方法です。
- ボリュームベース攻撃 – UDPやICMPのフラッドで、DNS amplificationなどの脆弱なプロトコル実装を利用して呼び出されることがあります。これらの攻撃は、ネットワークの帯域幅を飽和させる可能性があるため、下流のファイアウォールやグローバルに分散した大容量のPoint of Presenceを使用して対処するのが最適です。
- アプリケーション層への攻撃 – Slowlorisなどの低速なHTTP攻撃や、コストのかかるWebコールなど。これらの攻撃は、本物のアプリケーショントラフィックのように見えますが、一般的なウェブアプリケーションの弱点を突こうとするため、最も悪質です。このような攻撃に対処するには、アクセラレーション、オフロード、フィルタリングの機能を備えたソフトウェアが最適です。
NGINX Plusはどのように役立ちますか?
NGINX PlusとNGINXは、クラス最高のロードバランシングソリューションであり、Dropbox、Netflix、Zyngaなどの高トラフィックのWebサイトで使用されています。世界中で4.5億以上のWebサイトがNGINX PlusとNGINX Open Sourceを利用しており、迅速かつ確実で安全なコンテンツのデリバリーを実現しています。
NGINX Plusは、DDoS攻撃を防ぐための重要なコンポーネントであり、さまざまなアプリケーションレイヤー攻撃から脆弱なアプリケーションを保護するためのツールを提供します。
DDoS攻撃には、攻撃に使用されているクライアントIPアドレス、リクエストの割合、特定のHTTPヘッダーなど、DDoS攻撃を防ぐために役立つ特徴があります。NGINX Plusには、これらの特徴を利用してDDoS攻撃に対抗したり、攻撃を受けたときにそれを特定したりするのに有効な機能がいくつかあります。
詳しくは、当社ブログ「Mitigating DDoS Attacks with NGINX and NGINX Plus」をご覧ください。
