Skip to main content
Dark background with blue code overlay
ブログ

DDoS ヒットチャートのトップ - BPS、PPS、RPS の最大記録

Tom Emmons

Written by

Tom Emmons

September 17, 2021

Tom Emmons is a data enthusiast who leads a team focused on machine learning and automation. His areas of security expertise are in DDoS and Application Security.

最近、「史上最大規模」の DDoS 攻撃が大きな話題となりました。

新たに登場したモンスターサイズのボットネット Mēris が、リクエスト/秒(rps)がきわめて膨大となる攻撃を行ったことで注目を集めています。具体的な発生状況は、 Cloudflare (1,720 万 rps、8 月 19 日に報告)、 Yandex (9 月 5 日のピーク時に 2,180 万 rps)、 KrebsOnSecurity (200 万 rps、9 月 9 日)によって報告されています。これらについては、 SlashdotThe RecordThe Hacker News に解説が掲載されています。

ご存知と思いますが、インターネットに面したインフラを停止させ、混乱をもたらす可能性がある DDoS 攻撃にはいくつかの手法があり、主なものは次のとおりです。

  1. インターネットパイプの渋滞:bps(ビット/秒)

  2. ハードウェアの過負荷:pps(パケット/秒)

  3. Web インフラの過負荷:rps(リクエスト/秒)

  4. DNS インフラの過負荷:qps(クエリー/秒)

これまで、レイヤー 3 およびレイヤー 4 の DDoS 攻撃は、オリジンにつながるパイプを標的とし、偽のトラフィックでパイプをいっぱいにして正当なトラフィックが宛先に到達できないようにするものでした。あるいは、ファイアウォール、ルーター、その他のネットワーク機器を過負荷にして停止させるために、大量の小さなパケットで構成されるものもあります。

昨年の夏、私たちは、ビット/秒とパケット/秒ベースの最大規模の攻撃を緩和しました。これらは、それぞれホスティングプロバイダーとヨーロッパの金融サービス組織を標的としたもので、具体的な規模は次のとおりです。

リクエスト/秒の記録は?

さらに、レイヤー 7(アプリケーションレイヤー)の DDoS 攻撃または RPS 攻撃もあります。これらは通常、HTTP フラッドを介して Web サーバーやアプリケーションサーバーを標的とします。この攻撃はまさに日常茶飯事です。一貫してボリュームは大きいのですが、攻撃トラフィックは自動的にエッジでドロップされます。Akamai のプラットフォームには十分なキャパシティがあるため正当なトラフィックに影響は生じません。そのため、rps は攻撃の激しさの指標として優れているものの、レポートしてもあまり面白いものにはならないのです。

とはいえ、私たちは先日、次のような膨大な RPS イベントを記録しました。

  • 1 億リクエスト/秒 - Akamai イベントの最高記録

私たちはなぜ、この記録を発表しなかったのでしょうか。2,200 万 rps でも膨大に思えるかもしれませんが、Akamai ではいつでも平均してこの 3 倍以上のボリュームが観測されています。8 倍の急増が見られることもあります。端的に言えば、当社のプラットフォームにはお客様のイベントやトラフィックの増加、大規模な攻撃に対応できるだけの大きな余裕があるため、こうした「日常茶飯事」をブログに書こうとは思わなかったのです。

Akamai のデータをさらに調べたところ、Akamai が直接観測した直近の最大 RPS 攻撃は約 500 万 rps であり、お客様のイベント(手に入りにくい人気商品の発売)に関連した悪性のボット活動によるものでした。これは、当社のお客様の正当な活動から生じる通常トラフィックの負荷や急増と比べて、特に高い数値ではありません。

Web サーバーとアプリケーションを標的とするボットネットである Mēris について注目に値するのは、世界最大の CDN またはクラウドベース DDoS プロバイダー(当社のことです)では、まだ観察されていないという事実です。

特定の標的またはプロバイダーを選んでいるのでしょうか。それとも単にまだ順番が回って来ないだけでしょうか。

Mēris とは - 隣のボットネットではない

報告された内容によると、Mēris は、パッチが適用されていない 2018 年の脆弱性が原因となって侵害された MikroTik 製ルーター 25 万台以上を利用していました。攻撃者は、デバイスにアクセスし、ルーターを再設定して取り込む方法で、ボットネットを拡大します。ルーターは大きな帯域幅を相互接続して大量のパケットを移動できるように設計されているため、Mēris は膨大なパケット/秒(pps)を生成できます。これでトランザクション全体を構築すれば、膨大なトランザクション/秒(tps)またはリクエスト/秒(rps)を生み出すことができます。最新の攻撃では、Mēris は HTTP パイプラインを通じてレイヤー 7 のアプリケーションおよびサービスを攻撃するように設計されていました。また、 あるレポートによると、帯域幅の大きいイーサネット接続デバイスによって能力が強化されているとのことです。

業界には、感染した MikroTik ルーターを発見してクリーンアップするという取り組みもありますが、このプロセスには時間がかかります。パッチやファームウェアの更新だけではこれらのデバイスを保護することはできません。2018 年以降、すでにパスワードが悪用されている可能性があるため、ユーザーはパスワードを変更するだけでなく、ファイアウォールのルールを再確認して、未知の者にリモートアクセスが提供されないようにする必要があります。また、ユーザーは自身が作成していないスクリプトを探す必要もあります。このような状況では、Mēris ボットネットは今後何度も使用されると考えられます。

Akamai ではまだ Mēris 特有のボットネット攻撃は観察されていませんが、最近、侵害された MikroTik デバイスを攻撃者がプロキシとして悪用した DDoS 攻撃を緩和しました。お客様のインフラを混乱させるために、2018 年の脆弱性がさまざまな方法で悪用されていることは確かです。

IoT によって加速する今日のボットネット

攻撃者が自由に利用できる帯域幅が拡大しつつあるということは、近いうちにさらに大規模な攻撃の防御が必要になるということでもあります。前述のとおり、2020 年前半に、Akamai では Prolexic プラットフォームに対する記録的な 1.44 Tbps および 809 Mpps の攻撃が観察されましたが、これはその後の世界的な DDoS 脅迫攻撃の予兆となりました。

私たちはさまざまな DDoS 脅迫キャンペーンの波を観察するなかで、攻撃者が戦術、技術、手順(TTP)を進化させながら DDoS 攻撃の規模を拡大するのを目の当たりにしました。たとえば、初期の脅迫攻撃は平均約 200 Gbps でしたが、第 3 の波では、800 Gbps を超える攻撃を緩和しました。実際、最近観察された攻撃キャンペーンでは、攻撃者は 1 分もかけずに 帯域幅を 0 から 600 Gbps 超に拡大 しています。

攻撃者は大きな帯域幅を消費するだけでなく、DDoS ブーターやストレッサーに簡単にアクセスできます。それらの多くは無料でダウンロードでき、YouTube には使用方法のチュートリアルもあります。家庭のインターネット速度は一般的に 1 Gbps ですが、爆発的に増大しているエッジコンピューティングのエンドポイントが悪用されるため、モノのインターネット(IoT)デバイスの侵害と DDoS の増幅・リフレクション手法が組み合わされることで影響は甚大なものとなります。

このようなダイナミクスは、ボットネットオペレーターによるオーケストレーションで rps 能力が強化されているという点で、Mēris について公表されている内容とも整合しています。

キャパシティによって能力に対抗 ... 複雑さには別の方法で対処

Akamai は遭遇した嵐を常に乗り越えることができました。嵐に気づかないことさえあります。これが可能であるのは、当社がキャパシティやネットワークに投資し、観察された最大の攻撃の何倍もの規模を備えているからです(直接観察したものだけでなく公表されたものも参考にしています)。

しかも、あらゆる場所で、すべての指標(bps、pps、raps、qps)に対してこの方針を適用しています。

しかし、最新の DDoS 攻撃対策は規模だけではありません。最も複雑な標的型攻撃に対抗するためには、的確な人間の介入が必要となります。これにより、最高品質の緩和が実現します。Akamai Security Operations Command Center(SOCC)の最前線では、高リスクの複雑なアタックサーフェスを保護するために、255 名を超えるエキスパートが数十年にわたり、最も巧妙な攻撃を緩和する専門知識を培ってきました。自動化は DDoS の検知および緩和機能の重要な要素ですが、1 つのソリューションでどのような攻撃にも対応するというアプローチでは、今日の攻撃者の TTP には太刀打ちできません。イベントのレビュー、対策のカスタマイズ、例外への対処のために、高い可用性とスキルを備えた SOCC エキスパートを擁することは、業界をリードする DDoS 防御の能力として求められているにも関わらず、簡単には真似できないことなのです。

Akamai のお客様にお勧めする対策

ここでは、Mēris やその他、DDoS 攻撃を行うボットネットを防御するために役立つ緩和対策を、保護する資産の種類ごとに提示します。

アプリケーションと API

  • レート制御の設定を調べて、しきい値が適切なレベルに設定されていることを確認します

  • Client Reputation による Akamai の脅威インテリジェンスを活用し、攻撃者が資産に到達する前に、DDoS 攻撃に加担しているクライアントなど既知の悪性クライアントをブロックします

  • WAF と Bot Manager のソリューションが適切に設定され、攻撃に使用される自動化機能やツールを検知できることを確認します

  • キャッシングのルールを確認して、アプリケーションのオフロードを改善し、攻撃発生時に不要なリクエストが回避されるようにします

ハイブリッドクラウドのオリジンインフラ

  • リスクを軽減するために、インターネットに面した資産が Prolexic DDoS 防御プラットフォームにルーティングされるようにします

  • 事前に設定された緩和策を実施し、アタックサーフェスを縮小するとともに、0 秒緩和 SLA を活用します

  • Akamai Edge DNS を有効にして、お客様の DNS を DDoS 攻撃から保護する必要があります。ネットワーク防御の担当者がこれを見落としていることがあります。

マネージド型ドセキュリティのお客様は、ランブック、Akamai SOCC との公式な連絡窓口、インシデント対抗計画が最新のものであることを確認する必要があります

現在、DDoS 攻撃や DDoS 脅迫を受けている場合は、 Akamai DDoS ホットライン(+1-877-425-2624)にご連絡ください。すぐにサポートいたします。また、脅迫メールを受け取った場合は、地域の法的機関に連絡してください。情報が増えれば、犯罪行為を阻止できる可能性も高くなります。



Tom Emmons

Written by

Tom Emmons

September 17, 2021

Tom Emmons is a data enthusiast who leads a team focused on machine learning and automation. His areas of security expertise are in DDoS and Application Security.