ホワイト ペーパー

BIG-IP ASMによるアプリケーションDDoS攻撃からの保護:3ステップ ソリューション

Updated March 26, 2012
  • Share via AddThis

はじめに

ここ数年、分散型サービス拒否(DDoS)攻撃によってリソースを枯渇させることで企業や組織のWebアプリケーションに損害を与えようとする攻撃者グループが関与するインシデントが増加していることが複数の組織から報告されています。可用性はアプリケーションの収益に影響し、サービスの品質が低下すると収益が減少するだけでなく、組織の評判が損なわれかねないため、アプリケーションの可用性を維持することがほとんどの組織にとって最優先事項であることを攻撃者グループは理解しています。

アプリケーション レベルのDDoS攻撃から完全に保護することは難しいため、特にこの攻撃がよく使われています。設計上、ネットワークのアプリケーション レベルは本質的に汎用的なものであり、各アプリケーションには固有の特性がありますが、それらのアプリケーションを提供するために使用されるインターフェイスとメカニズムは類似しています。その結果、アプリケーション層は、比較的単純な攻撃を含む、さまざまな脅威に対して脆弱です。例えば、2009年のWikiLeaks事件に関与した大手クレジット カード会社に対する最近のDDoS攻撃の分析によると、会社のWebサイトで最初にダウンタイムが発生したとき、940台のコンピュータが攻撃に参加しており、アプリケーションへのブルート フォースHTTPトラフィックが使用されていました。1このケースは、単純な攻撃でさえWebアプリケーションを簡単に屈服させることができることを示しています。より高度なDDoSツールを使用すれば、攻撃者はアプリケーションとその提供方法の特定の脆弱性を識別して、使用する帯域幅を減らし、リソースを分散して、ネットワーク全体のアプリケーション リソースを枯渇させることができます。

公開されている脆弱性がいかに簡単に発見され、悪用されるかを示す良い例として、最近発見されたPHP5、Java、ASP.NETの特定の組み合わせで動作するWebサーバーの脆弱性が挙げられます。この特定のプラットフォームの組み合わせを標的として作られた特殊なHTTP要求は、一意の要求によって一意ではない応答や重複する応答が返された場合にWebサーバーのハッシュ関数の衝突を引き起こします。攻撃者は、同時に多数の「ハッシュ バスター」要求を送信して、Webサーバー上でサービス拒否イベントを発生させ、正当なリソースを枯渇させることに成功する可能性があります。

幸い、ユーザーがどのようにリアルタイムでアプリケーションと対話し、それらのアプリケーションがネットワーク上でどのように提供されるかに注目することで、組織は攻撃者とその攻撃がどのように進化するかを予測することができます。保護の観点から脅威を見ると、アプリケーション管理者とネットワーク管理者が協力してDDoS脅威を検出し、対策を講じることが可能になります。

適切なアプリケーション デリバリ コントローラ(ADC)は、非常に重要な役割を果たすことができます。F5® BIG-IP® Application Security Manager™(ASM)は、アプリケーションとユーザーの間に配置され、リアルタイムで攻撃を検出して対策を講じるために次のことを行います。

  • アプリケーションが攻撃を受けていることを検出する。
  • 攻撃が分散しているのか、単一の場所からの攻撃なのかなど、攻撃者の情報を特定する。
  • アプリケーションの可用性を損なうことなく攻撃を効果的に緩和し、正規のユーザーへの影響を最小限に抑える。

BIG-IP ASMは、アクセスを制御し、チャレンジ/レスポンス方式と異常検出エンジンを実装し、アプリケーションの動作を認識する機能を適用することで、悪意のある接続から防御し、攻撃者がアプリケーションに過剰な負荷をかけるのを防ぎます。

  • ステップ1:アプリケーションが攻撃を受けていることを検出する
  • ステップ2:攻撃者の情報を特定する
  • ステップ3:攻撃を緩和する

図1:F5のBIG-IP ASMはWebアプリケーション ファイアウォールであり、アプリケーション層とその動作を認識する機能に基づいて、アプリケーションDDoS攻撃の脅威を検出して緩和する。

3ステップのアプリケーション保護

ステップ1:アプリケーションへの攻撃を検出する方法

最近のアプリケーションレベルのDDoSインシデントは、これらの攻撃が、可能な限り多くのソースからWebアプリケーションに送られる大量のHTTP要求として説明できることを示しています。DDoS攻撃が流行る前は、標準的なシングル ポイントのサービス拒否(DoS)攻撃が、攻撃者コミュニティの定番でした。分散型とは異なり、標準的なDoS攻撃は、単一のソースを使用して、アプリケーションの可用性に影響を与えるために可能な限り多くの要求を送信しますが、DDoS攻撃は、地理的に分散した複数の場所から行われ、従来の保護対策を回避しようとします。

セキュリティの観点から見ると、DoS攻撃とDDoS攻撃のこの違いにより、セキュリティ フィルタが攻撃を検出して緩和する方法が決まります。セキュリティ フィルタは、従来のDoS攻撃で発生するような、1つのソースから送信されたHTTP要求のレートが異常な場合を簡単に検出できます。攻撃を検出すれば、1つのソースからのアクセスをブロックすることでその攻撃を簡単に緩和することができます。

DoSのシナリオは検出と緩和が非常に簡単であるため、保護の観点からは些細なことに思えますが、DDoSには、各ソースが多数のHTTP要求を送信するマルチソース攻撃が関与しているため、はるかに複雑です。これらの攻撃は通常、「ゾンビ」PC、つまりマルウェアに感染したデバイスや、匿名の攻撃者によって遠隔操作されているデバイスによって行われます。多くの場合、マシンの所有者は攻撃が行われていることに気付きません。この種の攻撃を検出するためのDDoS防御ポリシーでは、攻撃されたアプリケーションが正当にはどのように使用されているかを調べる必要があります。それには、アプリケーションが経時的にどのようにアクセスされているかを知らなければならず、これには有効なトラフィックのすべての特性が含まれます。これらの特性には、一般的に以下のようなものがあります。

  • 経時的なアクセス率。これは、さまざまな時間帯や曜日におけるアプリケーションへのアクセス率を示します。例えば、アプリケーションによっては、月曜日の朝の混雑時のトラフィック レベルが、他の時間帯や曜日のトラフィックとは大きく異なる場合があります。
  • アプリケーションのリソースごとのレート。アプリケーションは1つの生物ではなく、アプリケーションの各リソースには独自の特性があります。例えば、アプリケーションのログイン ページのアクセス率がアプリケーションの他のページよりも高いことは間違いありません。
  • 応答待ち時間。各アプリケーション リソース(およびアプリケーション全体)のアプリケーション応答待ち時間は、リソースがいつ枯渇するかを示します。
  • アプリケーションの応答率。404(ページが見つかりませんエラー)や500(アプリケーション エラー)などのアプリケーションの応答率は、アプリケーションの使用方法によって異なります。
  • 地理的な場所。ユーザーのアクセス率は、ユーザーの地理的な場所に応じて分けることができ、多くの場合、Webアプリケーション管理者はユーザーの場所を予測できます。例えば、米国政府機関のWebアプリケーション管理者は、ほとんどのアプリケーションについて、ほとんどのユーザーが米国内からアクセスしていると予測できます。

これらのトラフィック特性の検出は、異常の検出、つまりアプリケーションの動作の変化に基づいて行う必要があります。例えば、アプリケーションの検索ページのアクセス率が通常は毎秒500トランザクションで、突然そのアクセス率が毎秒5000トランザクションに跳ね上がった場合、検索ページが悪用され、攻撃されている可能性があると考えるのが妥当です。これらの各要求の送信元の場所によっては、アプリケーションがDDoS攻撃を受けているかもしれません。この例では、セキュリティ フィルタで攻撃元を監視するのではなく、攻撃を受けているリソースを監視する必要があります。

BIG-IP ASMは、アプリケーションが通常どのようにアクセスされているかを学習することで、このような攻撃を検出します。構成に応じて、BIG-IP ASMは一般に以下の情報を収集することでこれを実現します。

  • アプリケーション内の各URLの1秒あたりのトランザクション数。
  • アプリケーション内の各URLのWebサーバーのレイテンシ。
  • アプリケーションにアクセスする各ソースIPの1秒あたりのトランザクション数。

BIG-IP ASMは、アプリケーションへのアクセスに、学習していた標準値と比較して変化が生じた場合に、攻撃を検出します。

ステップ2:攻撃者の情報を特定する方法

アプリケーションがDDoS攻撃を受けていることを検出した後、防御の次のステップは、誰がアプリケーションを攻撃しているか、または少なくとも、攻撃者に関するどの情報を特定できるかを判断することです。定義によれば、DDoS攻撃は、1つのソースから行われていてそれをブロックすれば済むものではなく、多くのソースから行われます。上で示した異常な検索ページの要求の例では、複数のユーザーがアプリケーションで検索を実行しようとしている可能性があります。これらのトラフィック ソースの一部は正当なユーザーで、その他が攻撃に参加しているユーザーであるなら、課題は、正当な検索と違法な検索を区別することになります。

区別する最良の方法は、ブラウザを使用する通常のユーザーと、アプリケーションに直接要求を送信する悪意のある自動ツールを区別することで、ユーザーの身元確認(チャレンジ)をすることです。このようなチャレンジの一例が、CAPTCHA認証テストです。これは、多くのアプリケーションのログイン ページで使用され、ユーザーにランダムな質問や個人的な質問への回答を求めることでブルートフォース攻撃を撃退しようとするものです。

効果的なチャレンジの例として他に、BIG-IP ASMで使用されている方法で、ユーザー側へのJavaScriptの埋め込みがあります。ブラウザを使用するクライアントのみがこのチャレンジに合格し、悪意のある自動化ツールは失敗します。その結果、BIG-IP ASMは、これらの自動化ツールを選択的に特定してブロックできます。

もちろん、検出と攻撃者の特定は必ずしも決定的なものではありません。シナリオの複雑さは、検出の精度に影響し、検出が難しくなると誤検出を引き起こしかねません。さらに、セキュリティ チャレンジへの応答に失敗したことが、必ずしも攻撃を受けたことになるわけではありません。例えば、ユーザーのブラウザの制限や構成が原因で応答を受け取れず、チャレンジに失敗する場合があります。それでも、潜在的な攻撃者に関する情報を識別し、疑わしいユーザーにはチャレンジ質問に答えさせる機能を備えたセキュリティ対策は、脅威をより効果的に検出して緩和できます。

3:攻撃を緩和する方法

前述したように、アプリケーション デリバリは多くの場合、主要なビジネス目標であり、組織の主要な、または唯一の顧客とのやり取りである場合があります。このような場合、疑わしいユーザーがセキュリティ チャレンジへの応答に失敗しても、アプリケーション ユーザーのトランザクションを削除することは容認されません。代わりに、DDoS攻撃を緩和するための取り組みとして、次の原則に従う必要があります。

可能な限り、DDoS攻撃からアプリケーションを保護する。

攻撃が発生した場合、アプリケーションへの攻撃の影響を緩和します。アプリケーションの可用性を維持して、他のユーザーに影響しないようにします。

これらの原則に準拠した緩和方法の1つは、疑わしいソースがアプリケーションにアクセスできる割合を下げて、アプリケーションの可用性を維持しながら同時にDDoS攻撃を防止することで、攻撃を受けたリソース全体の可用性を高めることです。このアプローチの利点は次のとおりです。

  • アプリケーションのサービス品質が損なわれません。疑わしいユーザーのサービス可用性の低下は、アプリケーションで利用可能なリソースの合計に基づいて決定されます。
  • 攻撃が緩和されていることを攻撃者が認識する可能性が低くなります。

このアプローチを使用した場合の最悪のシナリオは誤検出であり、アプリケーションへのユーザー接続は遅くなりますが、ユーザーへのサービス提供は妨げられないため、正当なユーザーの可用性は維持されます。実際の攻撃では、アプリケーションも保護されます。

攻撃が疑われる場合は、アクセスを遅延させるか、接続を解除する。

攻撃を受けている可能性がある場合は、いくつかの緩和方法があります。

  • 不審なソースIPからのアクセスを遅延させる
  • 攻撃を受けているURLへのアクセスを遅延させる
  • 不審なソースIPの接続を解除する
  • 攻撃を受けているURLの接続を解除する

管理者は、不審な接続をどの程度積極的に解除するかを調整するポリシーを設定することにより、BIG-IP ASMが提供するアプリケーションの保護と可用性の間のバランスを管理できます。

レポート

BIG-IP ASMは、独自の双方向アプローチを使用してDDoS攻撃を検出し、攻撃者の情報を特定し、これによりサービス品質を維持し、同時に攻撃の影響を緩和します。BIG-IP ASMはユーザーとアプリケーションの間に配置されるため、次の両方の認識を維持できます。

  • アプリケーション リソースの動作を監視します。BIG-IP ASMは、通常のアプリケーション レイテンシと1秒あたりのトランザクション数の割合を学習し、それらの割合が学習した値を大幅に超えるとアクセスを制限します。
  • 不審なユーザーに質問し、適切に対応します。BIG-IP ASMは、アプリケーションの応答にJavaScriptチャレンジを埋め込み、応答に失敗したユーザーまたはエージェントに対するアプリケーションの可用性を制限します。
ダイアグラム
図2:BIG-IP ASMダッシュボードは、DoSおよびDDoS攻撃中の可用性を含む、アプリケーションの可用性とトラフィックに関する詳細なレポートを提供する。

また、BIG-IP ASMは、運用ダッシュボードとレポートを通じて、IT管理者に正常なアプリケーション アクティビティと潜在的に異常なアプリケーション アクティビティの両方を通知します。BIG-IP ASMは、接続、スループット、可用性などの運用データを定期的に表示する管理ダッシュボードに加えて、DoSおよびDDoSインシデントに関する詳細なレポートを提供します。管理者は、検出された異常、排除された接続数を含む緩和結果、関与している不審なIPアドレスなど、詳細なビューを簡単に確認できます。このデータを使用することで、組織はネットワークに対するDoSおよびDDoS攻撃の頻度とレベル、およびそれらの攻撃が可用性に与えた影響を把握することができ、管理者は自信を持って意思決定を行うことができます。

スクリーン ショット
図3:BIG-IP ASMのレポートは、攻撃タイプ、異常に関する統計情報、要求先の上位のURL、要求元の上位のIPアドレスなど、詳細な統計情報を提供する。
スクリーン ショット
図4:BIG-IP ASMのレポートでは特にDoSとDDoSのインシデントに注目している。

まとめ

Webアプリケーションは、多くの組織の運用と顧客サービスの両方にとって重要であり、今日蔓延しているDDoS攻撃に対して特に脆弱です。攻撃の検出は、攻撃を緩和し、アプリケーションの可用性を維持するための最初のステップです。アプリケーションがDDoS攻撃を受けているかどうかを判断するには、アクセス率や応答率などの情報を組み合わせることでアプリケーションの状態を明確に把握できるため、アプリケーションの動作特性の変化を考慮する必要があります。

F5のBIG-IP ASMは、次の方法でDDoS攻撃からアプリケーションと組織を保護するオールインワン ソリューションを提供します。

  • アプリケーションの動作特性を学習する。
  • アプリケーションの習慣的な動作の変化を検出する。
  • 可用性を維持し、攻撃者を撃退するためのさまざまな対策やオプションを使用して攻撃を緩和する。
  • アプリケーションとセキュリティの状態について管理上の多くのインサイトをもたらす詳細なレポートを提供する。

1『Tis the Season of DDoS』、PandaLabsブログ、2010年12月