No products in the cart.
アプリがDDoS攻撃を受けた時の対処法と効果的な防御対策を解説。CDNやファイアウォール設定、トラフィック対策など、攻撃を防ぎ被害を最小限に抑える方法を詳しく紹介します。
DDOS攻撃とは何ですか?
DDoS攻撃は、分散型サービス拒否攻撃は、攻撃を守るために一般的で非常に困難であり、攻撃者は、ボットネット(人形マシン)の多数の制御を介して、悪意のあるリクエストを大量に送信するターゲットサーバーのように、サーバーのリソースを消費するため、サーバがダウンすることを余儀なくされる。
たとえば、あなたは今、コーヒーショップを開き、店はわずか30平方メートルであり、通常、通常の10人を収容することができ、突然今日1000人が来て、これらの人々は、実際の顧客ではない悪意のある、あなたのコーヒーショップが瞬時にバーストし、完全に通常のビジネスにすることはできません。
DDOS攻撃の種類
トランスポートレイヤーDDos攻撃:(Synフラッド、Ackフラッド、UDPフラッド、ICMPフラッド、RstFlood)、DNS DDos攻撃、コネクションベースDDos攻撃、ウェブアプリケーションレイヤーDDos攻撃(HTTP Getフラッド、HTTP Postフラッド、CC)
ネットワーク・レイヤーの攻撃:(UDP Reflection攻撃) - トランスポート・レイヤーの攻撃(SYNフラッド攻撃、コネクション・カウント攻撃) - セッション・レイヤーの攻撃(SSLコネクション攻撃) - アプリケーション・レイヤーの攻撃(DNSフラッド攻撃、HTTPフラッド攻撃(CC攻撃など)、ゲーミング・ダミー攻撃)
攻撃の種類 | 指示 | 例を挙げる |
---|---|---|
ネットワーク層攻撃 | 攻撃された側のネットワーク帯域幅を大量のトラフィックで輻輳させることで、攻撃された側のビジネスは顧客からのアクセスに適切に対応できなくなる。 | NTP フラッド攻撃。 |
トランスポートそうこうげき | サービス拒否は、サーバーのコネクションプールリソースを使い果たすことによって達成される。 | SYNフラッド攻撃、ACKフラッド攻撃、ICMPフラッド攻撃。 |
セッション層攻撃 | サービス拒否は、サーバーのSSLセッションリソースを使い果たすことで達成される。 | SSL接続攻撃。 |
アプリケーション層攻撃 | サービス拒否は、サーバーのアプリケーション処理リソースを占有し、サーバーの処理性能を大幅に消費することで達成される。 | HTTP ゲットフラッド攻撃、HTTP ポストフラッド攻撃。 |
攻撃の種類にかかわらず、標的は結局同じである:
これら3つの攻撃タイプは、UDP、ICMP、IP、TCP、httpフラッディングなどの亜種や、現在のAI連携攻撃など、多くのタイプに分けられる。 以下のCDN5エンジニアは、上記の種類を段階的に拡大しながら説明します。
1.容量消費型攻撃
容量消費攻撃とは、その名の通り、攻撃によって対象サーバーに負荷以上のリクエストをさせ、それを使い果たすというもので、UDP、CHARGEN、ICMPなどがある。
UDPフラッド攻撃
UDPプロトコルは、ポートを介してターゲットにパケットを送信するために、現在のサーバーは、自動的にパケットを受信した後に処理されます、攻撃者は、IPアドレスとUDPパケットに埋め込まれたポートを介してネットワーク内のサーバーを攻撃するために、要求の多数を介して、ターゲットを使い果たす。 一般的なものとしては、DNS、NTP、SSDP、Voice over IP、p2p、SNMP、QOTD、STEAMなどがある。 変種としては、UDPフラグメンテーション、UDP増幅攻撃(プロトコルは通常SNMP、SSDP、NTP)などがある。
CharGENフラッディング
CharGENプロトコルは1983年に始まり、その目的はデバッグや測定に使用され、ポート19にTCPまたはUDPリクエストを送信してトリガを要求します。 ファイアウォールがポート19をブロックしていない場合、それはダウンして実行されます。
ICMPフラッディング
インターネット制御メッセージプロトコルは、タイムスタンプ、タイムアウトエラー、エコー要求pingコマンドなど、ネットワーク機器間で送信される特定のメッセージや操作コマンドで構成されています。 また、同様の原理で動作する ICMP フラグメンテーション攻撃も存在する。
アプリケーションの悪用
攻撃者は、正規のサーバーからトラフィックの多いアプリケーションを入手し、標的のサーバーにリダイレクトする。 送信されるパケットは通常のリクエストに見えるため、ほとんどの防御ツールは誤判定し、サーバーに負荷がかかってダウンする。
3.攻撃がAPPビジネスに与える影響
直接的な損失:サービスの中断は、ユーザーの損失、取引の失敗、ブランドの信頼低下につながる。
隠れたリスク:攻撃は、データ盗難やランサムウェアの移植など、他のセキュリティ脅威を覆い隠す可能性がある。
コンプライアンスリスク:タイムリーな対応ができなかった場合、データ保護規制(GDPRなど)に抵触し、法的手段に問われる可能性がある。
DDOS攻撃に苦しんでいる場合、最善の方法はCDN5保護SDKに直接アクセスすることです:今すぐご相談ください!
4.APP DDOS攻撃を防御する方法
アーキテクチャの最適化
分散アーキテクチャを採用し、ビジネスをユーザー認証、支払いインターフェースなどの独立したモジュールに分割し、異なるサーバークラスタに配置して単一障害点を回避する。
クラウド・サービス・プロバイダーから弾力的なリソースを購入する:例えば、弾力的なトラフィック用に動的なクォータを持つグーグル・クラウド・サーバーを使用する。
不要なプロトコルやポートを閉じる:不要なものはすべて閉じる。
マルチレイヤー防御
ハイディフェンスIPとハイディフェンスCDN:CDN5のハイディフェンスIPまたはハイディフェンスCDNを購入し、攻撃トラフィックに対応するノードに分散し、悪意のあるリクエストを一掃する。
行動分析エンジン:AIアルゴリズムを使って異常なパターンを特定する。 例えば、1つのIPが1秒間に100回のログインリクエストを行った場合、攻撃と判断することができる。
レート制限とブラックリスト:Nginxの設定でlimit_req_zoneを設定することで、リクエスト頻度を制限し、異常なIPを自動的にブロックします。
WAFの統合
ルールベース照合:Webアプリケーションファイアウォール(CDN5 WAFやCloudflareのルールセットなど)を有効にし、SQLインジェクションやXSSなどの脆弱性悪用をブロックします。
人間とコンピュータの認証:不審なリクエストに対してCAPTCHA認証をトリガーし、本物のユーザーと自動化されたスクリプトを区別する。
APIセキュリティ強化:OAuth 2.0認証、リクエスト署名、タイムスタンプ検証を使用し、APIインターフェースが悪用されるのを防ぐ。
5.どのようにAPPセキュリティ保護プロバイダーを選択するか?
1.Tクラスの保護レベルを確保し、弾力的なブロードバンドとリアルタイムのクリーニング能力を確保する。
2.SDKはすぐに統合できますか?CDN5のSDK開発キットは、統合が簡単で、アクセスが速く、DDOSやCC攻撃を無視します。
3.アフターサポート:サービスプロバイダーが初回に対応し、問題を解決できるかどうか。