はじめに: サービス拒否攻撃
サービス拒否 (DoS) 攻撃とは、ウェブサイトやアプリケーションをユーザーが利用できなくなるように、意図的に大量のネットワークトラフィックを送信することです。これを行うために攻撃者は、大量のネットワーク帯域幅を消費したり、他のシステムリソースを拘束したりするさまざまな手法を使い、正規のユーザーによるアクセスを妨害します。この攻撃の最もシンプルな形態では、1 人の攻撃者が 1 つのソースを使い、ターゲットに対する DoS 攻撃を行います (下図を参照)。
図 1: DoS 攻撃の略図
DDoS 攻撃では、攻撃者が複数のソースを使用して、ターゲットに対する攻撃を編成します。この場合のソースには、マルウェアに感染したコンピューター、ルーター、IoT デバイス、その他のエンドポイントなどが分散した形で使用されることがあります。次の図は、侵害されたホストのネットワークが攻撃に参加し、大量のパケットまたは要求を生成してターゲットに過剰な負荷をかけていることを示しています。
DDoS 攻撃の略図
Open Systems Interconnection (OSI) モデルには 7 つのレイヤーがあり、それらについては Open Systems Interconnection (OSI) モデルの表で説明されています。DDoS 攻撃が最も生じやすいのは、レイヤー 3、4、6、7 です。レイヤー 3 と 4 での攻撃は、OSI モデルのネットワークレイヤーとトランスポートレイヤーでの攻撃を意味します。AWS はこのホワイトペーパーで、これらをまとめて「インフラストラクチャレイヤー攻撃」と呼んでいます。レイヤー 6 および 7 での攻撃は、OSI モデルのプレゼンテーションレイヤーとアプリケーションレイヤーでの攻撃を意味します。AWS ではこれらをまとめて「アプリケーションレイヤー攻撃」と呼んでいます。これらの攻撃タイプの例については、次のセクションで説明します。
Open Systems Interconnection (OSI) モデル
番号 | レイヤー | 単位 | 説明 | 攻撃ベクトルの例 |
---|---|---|---|---|
7 | アプリケーション | データ |
アプリケーションへのネットワークプロセス |
HTTP フラッド、DNS クエリフラッド |
6 | プレゼンテーション | データ |
データ表現と暗号化 |
TLSの悪用 |
5 | セッション | データ |
ホスト間の通信 |
該当なし |
4 | トランスポート | セグメント |
エンドツーエンド接続と信頼性 |
SYN フラッド |
3 | ネットワーク | パケット |
パスの決定と論理アドレス指定 |
UDP リフレクション攻撃 |
2 | データリンク | フレーム |
物理アドレス指定 |
該当なし |
1 | 物理 | ビット |
メディア、信号、バイナリの送信 |
該当なし |