主な攻撃タイプは 4 種類あります。

アプリケーションレイヤーへの DDoS 攻撃

アプリケーションレイヤーへの DDoS 攻撃（レイヤー 7 DDoS 攻撃）は、Web アプリケーションの特定の脆弱性を標的とし、そのアプリケーションが目的どおりに動作できないようにするものです。このタイプの DDoS 攻撃の多くは、インターネットを介した 2 つのアプリケーション間のデータ交換に関連する通信プロトコルを標的としています。防止や緩和は困難ですが、比較的仕掛けやすい DDoS 攻撃です。

HTTP フラッド 。HTTP フラッドは、Web ページの読み込みやインターネットを通じたコンテンツ送信に使用される HTTP インターネットプロトコルを悪用する攻撃です。HTTP フラッドは、多数の HTTP GET リクエストまたは POST リクエストでサーバー、Web サイト、または Web アプリケーションを過負荷状態にして、処理速度を低下させたりクラッシュさせたりします。

Low & Slow（少しずつ時間をかけた）攻撃 。Low & Slow 攻撃は、正当に見えるトラフィックや HTTP リクエストを非常に低レートで送信することにより検知を回避するように設計されたサービス拒否（DoS）攻撃です。Low & Slow 攻撃は帯域幅をほとんど必要としないので、単一のコンピューターまたはボットネットで開始できます。Low & Slow 攻撃のトラフィックは正規のレイヤー 7 トラフィックのように見え、セキュリティアラートをトリガーしない低レートで送信されるため検知は困難です。

Slowloris。Slowloris DDoS 攻撃は、標的とする Web サーバーに対して多数の同時 HTTP 接続をオープンし維持することで、その Web サーバーを過負荷状態にします。Slowloris がサーバーのリソースを枯渇させるために使用するリクエストは、通常よりも低速であること以外、標準的なトラフィックに見えます。攻撃者は、クライアントが GET または POST リクエストを複数のパケットに分割できるという HTTP プロトコル固有の特性を悪用します。 Slowloris 攻撃 は、標的 Web サーバーの機能を低下させるために、そのサーバーに対して複数の接続をオープンし、その状態をできるだけ長く維持します。これは、完了しない部分的な HTTP リクエストを送信する方法で実現されます。

プロトコル DDoS 攻撃

プロトコル攻撃は、OSI モデルのレイヤー 3 および 4 のインターネット通信プロトコルの弱点と脆弱性を標的にします。このタイプの攻撃は、サーバーやファイアウォールなど、さまざまなネットワーク・インフラ・リソースのコンピューティングキャパシティを消費し枯渇させるために、 Transmission Control Protocol（TCP） または Internet Control Message Protocol（ICMP）のプロトコルを使用した悪性の接続リクエストを送信します。

SYN フラッド。 TCP 接続はインターネットアプリケーションへの主な接続手段の 1 つです。この接続を確立するためには、Web サーバーなどの TCP サービスからの 3 ウェイハンドシェイクが必要になります。ユーザーはサーバーへの接続場所から SYN（シンクロナイズ）パケットを送信し、SYN-ACK（シンクロナイズ確認）パケットを受け取ります。その後、最終 ACK（確認）通信を受け取って、TCP ハンドシェイクは完了します。 SYN フラッド攻撃の最中には、悪性クライアントから大量の SYN パケット（通常のハンドシェイクの第 1 段階）が送信されますが、ハンドシェイクを完了するための確認パケットは送信されません。そのため、サーバーは半開状態の TCP 接続への応答を待機したままになります。最終的には、接続状態を追跡するサービスへの新たな接続を受け入れるために、サーバーの容量が枯渇します。



これを相乗りタクシーに例えて説明するとしたら、数千から数十万もの偽のリクエストが、相乗りタクシー会社に送信される状況と言えます。タクシーは乗客を乗せて出発できるように待機していますが、実現することはなく、最終的には利用可能なすべてのタクシーが使い果たされて、サービスは使用不可となり、正当なタクシー利用ができなくなります。

スマーフ DDoS 攻撃。この DDoS 攻撃の名前は、漫画に登場する架空の小さな青いヒューマノイド（スマーフ）のコロニーのように、攻撃者一人ひとりは小さくても、膨大な数が集まれば巨大な敵を打ち負かせるというコンセプトがベースとなっています。スマーフ DDoS 攻撃では、膨大な数の ICMP パケットが標的を詐称したソース IP とともに、IP ブロードキャストアドレスを使用してコンピューターネットワークに送信されます。デフォルトでは、ネットワーク上のほとんどのデバイスは、ソース IP アドレスに応答を送信します。ネットワーク上のマシンの数によりますが、トラフィックが飽和することで、被害を受けたコンピューターの速度は鈍化します。

DNS 増幅／リフレクション DDoS 攻撃

Domain Name System（ DNS）増幅／リフレクション攻撃 はボリューム型 DDoS 攻撃ベクトルの一種 です。このタイプの攻撃では、ハッカーは標的 IP アドレスをスプーフィングして、大量のリクエストをオープン DNS サーバーに送信します。これに対して DNS サーバーは、その乗っ取られた IP アドレスによる悪性リクエストに応答します。その結果、膨大な量の DNS 応答が発生するため、標的に被害が及ぼされます。短期間のうちに、DNS 応答から膨大な量のトラフィックが生成され、被害を受けた組織のサービスが過負荷状態で利用不可となり、その結果、正規トラフィックが目的の宛先に到達しなくなります。

このタイプの攻撃も、タクシーの相乗りに例えることができます。被害者の住所にタクシーを差し向けるように求める数百から数千の相乗りリクエストが作成されたとします。これらの相乗りタクシーによって、被害者の家に到達するまでの道路が渋滞し、正当な訪問者がその人の住所に到達できなくなります。この比喩をさらに拡張すると、次のセクションで取り上げるボリューム型 DDoS 攻撃も説明できます。

ボリューム型 DDoS 攻撃

ボリューム型 DDoS 攻撃は、OSI のレイヤー 3 と 4 に対するもので、複数のソースから送信された大量のトラフィックで標的を圧倒し、最終的に標的の使用可能な帯域幅を枯渇させます。その結果、標的は処理速度が低下したり、クラッシュしたりします。ボリューム型攻撃は、他のタイプの DDoS 攻撃や、より危険なサイバー攻撃から注意をそらすために使用されることがよくあります。