アプリケーションDDoS攻撃

Low and Slow攻撃、非対称攻撃、SlowHTTPTest、Slow Loris、POSTとGETのフラッド


送信していただきありがとうございます。アクセス情報がまもなく受信トレイに届きます。アクセスに問題がある場合は、thef5team@f5.comまでメールでお問い合わせください。

Webサイトが、本来の速度よりも遅くなっていませんか?

ユーザーから、頻繁なログインの問題、検索のタイムアウト、または原因不明のデータベース障害が報告されていますか?アプリケーション レベルの分散型サービス拒否(アプリケーションDDoS)の被害者になっている可能性があります。アプリケーションDDoSは、過去10年間、コンピュータ サイエンスで最も有害な問題の1つです。「Low and Slow」攻撃、「レイヤ7に対するDoS」攻撃、非対称攻撃など、他の名前でも呼ばれています。

競合他社がスクレイピングを隠すためにDDoSを使用

加入者数2,000万人以上の大手保険会社は、プロバイダ、給付金、プランなどの情報をWebサイトで提供しています。ある攻撃者が、保険会社の検索機能に数日間にわたって問い合わせを殺到させ、サイトを停止させました。

F5 Distributed Cloudの研究者は、サービス拒否攻撃と併存する低レベルの自動スクレイピング活動を観測しており、DoS攻撃が迂回戦術であった可能性を示唆しています。

ケーススタディ:保険会社がアプリケーション層のDDoSを撃退

主なポイント:

  • 保険会社のサービスは高度にパーソナライズされているので、Webサイトの検索は不可欠な機能です。
  • 攻撃者は、検索機能に不具合を発生させるのに十分な速度で実行するシンプルなコマンドライン ツールを利用しました。
  • F5 Distributed Cloudは、アプリケーションDDoSを撃退し、競合他社のレート スクレイピングを発見しました。

2,000万


加入者数2,000万人以上の大手保険会社は、プロバイダ、給付金、プランに関する情報をWebサイトで提供しています。

アプリケーションDDoS攻撃者のプレイブック

ステップ1

競合他社、恐喝者、活動家などの攻撃者は、スパイダリング サービスを利用して、検出されないように数日から数週間かけてゆっくりとWebサイトを偵察します。また、各クエリにかかる時間と返されるデータの量を含むURLのリストを作成します。

ステップ2

次に、攻撃者は完了までの時間またはファイル サイズでリストを並べ替え、リストの最初のURLを1秒間に100回以上繰り返しリクエストします。彼らの小さなGETリクエストは、起動するのに何のコストもかかりませんが、5メガバイトのPDFファイルや、1分間に6,000回起動される高コストのデータベース クエリは、防御されていないWebサイトに大混乱をもたらす可能性があります。

ステップ3

防御側がターゲット オブジェクトへのリクエストをブロックした場合、攻撃者はリストの次のURLをターゲットにするだけです。防御側は、それがどのURLになるのかほとんどわかりません。URLがデータベース クエリである場合、リクエストが繰り返されるとデータベース全体がダウンし、ビジネスが停止する可能性があります。

アプリケーションDDoSに対するF5 Distributed Cloudの対策

F5 Distributed Cloudでは、考えられるほぼすべての種類のアプリケーション層DDoS攻撃を見てきました。単純な攻撃では、競合他社が最も遅いデータベース検索を繰り返し呼び出してWebサイトを停止させる可能性があります。一部の小売業者にとって、最も時間のかかる検索が店舗検索である場合もあります。他の小売業者にとっては、インデックス付けされていない「select all」クエリである場合もあります。攻撃者側の個々の小さなリクエストが、Webサイトで膨大なリソースを引き出す可能性があるため、攻撃者は大規模な攻撃を行う必要はなく、小さなGETリクエストを継続的に送信するだけでよいのです。これらの「Low and Slow」DDoS侵入は、帯域幅トリガーアラームを引き起こしません。

アプリケーションDDoS攻撃者は、自動化(スクリプト、プログラム、ボットネット)を利用してDDoS攻撃を実行します。従来のDDoS防御では通常、これらの種類の攻撃は認識されません。これは、攻撃がほとんどの場合、暗号化されたSSLチャネルを介して実行されるためです。

DDoSチャート

上の図は、F5 Distributed Cloud Protection Managerによって記録されたトラフィックを表しており、保険会社のWebサイトに向けられた攻撃トラフィックを示しています。赤色は、F5 Distributed Cloudがアクティブになる前に元のサーバーに到達するトラフィックを示します。灰色は、F5 Distributed Cloudによって偏向されて元のサーバーに到達しないトラフィックを示します。このチャートは、F5 Distributed Cloudがその悪影響を緩和した後にも継続された典型的なアプリケーション層へのDDoS攻撃パターンを示しています。

F5 Distributed Cloud Securityでは、他の自動化と同じように攻撃を確認して検出できます。攻撃しているクライアントが真のブラウザでない場合はわかっているので、その影響を最小限に抑えるために攻撃を制限したり、リダイレクトしたり、制御されたブロッキングを使用したりします。私たちは攻撃者と立場を逆転させて攻撃者のクエリを遅くし、攻撃者が成功していないのに成功していると思わせることができます。

F5 Distributed Cloudは、人間とコンピュータを区別することを専門としています。アプリケーションDDoSは、私たちが週に何十億回も処理する同じ脅威ベクトルのもう1つのボットの症状です。