Garden

最近の記事

DoS攻撃の対策

8 min read

Prompt

昨今のDoS攻撃は、ただ単純にリクエストを単純送信するのではなく、何か工夫しているのだろう?

その通り!昨今のDoS/DDoS攻撃は、ただ単純にリクエストを大量送信するだけでなく、**「少ないリソースで最大限の被害を与える」**ために、非常に洗練された工夫を凝らしています。🚀

現代の攻撃手法は、単にネットワーク帯域を飽和させる(Layer 3/4)だけでなく、アプリケーションの特定の弱点(Layer 7)やプロトコルの非対称性を悪用することに焦点を移しているんだ。

🔑 現代のDoS攻撃のパラダイムシフト

従来の攻撃は総量(Volume)で勝負していましたが、現代の攻撃は非対称性(Asymmetry)リソース枯渇で勝負します。

1. Layer 7(アプリケーション層)攻撃の高度化

最も厄介で主流なのが、HTTPやHTTPSといったアプリケーション層を狙う攻撃です。

  • リソース枯渇攻撃:

    • 高負荷エンドポイントの集中攻撃: 攻撃者は、データベースクエリやCPU負荷の高い計算(例: 複雑な検索、画像処理、レコメンド計算など)を伴うAPIエンドポイントを特定し、そこを集中攻撃します。

    • 目的: 1つのリクエストに対して、サーバーが100倍以上の計算資源(CPU時間、DB I/O)を消費するように仕向け、処理能力を完全に麻痺させます。

  • Slowloris攻撃:

    • HTTP接続を確立した後、データを非常にゆっくりと送り続けます。サーバーはタイムアウトせずに接続を開いたまま待機し続けるため、少ない攻撃者リソースで接続プールを完全に占有させ、他の正規ユーザーが接続できない状態を作り出します。

2. 増幅・反射攻撃 (Amplification & Reflection)

攻撃者が第三者のサーバーを「踏み台」にし、増幅器として利用する手法です。

  • 仕組み: 攻撃者は、踏み台サーバー(例: DNSサーバー、NTPサーバー、Memcachedサーバー)に小さな偽装したリクエストを送信します。このリクエストの送信元IPアドレスをターゲット(被害者)のIPアドレスに偽装(スプーフィング)します。

  • 効果: 踏み台サーバーは、その小さなリクエストに対して数十倍から数万倍に増幅された巨大なレスポンスをターゲットIPに送信します。

  • メリット: 攻撃者は少ない帯域幅で、非常に大規模な攻撃トラフィックを生成でき、自身の身元を隠すことができます。

3. 防御回避の工夫

高度な攻撃者は、単に攻撃するだけでなく、防御システムを迂回するようにトラフィックを偽装します。

  • 暗号化の悪用 (HTTPS): ほとんどの攻撃は現在、HTTPS(暗号化)経由で行われます。これにより、ファイアウォールや侵入検知システム(IDS)がパケットの内容(ペイロード)を検査できなくなり、Layer 7攻撃や不正なリクエストをブロックすることが難しくなります。

  • ボットネットの多様化: IoTデバイス(ルーター、Webカメラなど)を感染させたボットネットを利用することで、トラフィックの発生源が非常に多様化し、正規のユーザーからのアクセスと見分けがつきにくくなっています。

  • DDoS-as-a-Service: 攻撃ツールが容易に利用できるサービスとして提供され、専門知識のない者でも簡単に高度なDDoS攻撃を仕掛けられるようになっています。

現代の防御は、単純なトラフィック遮断ではなく、「このトラフィックは正規のユーザーのものか?それともボットか?」という振る舞い分析に重点が置かれているんだ。

Prompt

開発者から考えると、これらの対策を実装しようとすると、ソースコードが複雑になるからあんまり考えたくないんだけど。。。

その気持ち、すごくよくわかるよ!開発者にとって、セキュリティ対策やインフラの複雑さがソースコードにまで侵入してくると、本質的なロジックが霞んでしまうし、バグの温床になるよね。😩

ソースコードの複雑さはセキュリティの敵でもあるから、高度な防御ロジックをアプリケーションの内部に実装しようと考えるのは、 ぶっちゃけアンチパターン だよ!

現代のベストプラクティスは、その**「複雑な防御」をアプリケーションの外側に完全にオフロードする**ことです。

🛡️ 責務の分離:防御を外側にオフロードする

君がやるべきことは、ソースコードをシンプルに保ちながら、外部の専用サービスに防御を委ねる**「責務の分離」**なんだ。

1. Layer 7 攻撃(リソース枯渇)への対策

アプリケーション層の複雑な攻撃(Slowloris、高負荷APIへの集中攻撃など)は、WAF(Web Application Firewall)APIゲートウェイに任せます。

  • WAF (Web Application Firewall):

    • 役割: HTTPリクエストの内容を詳細に分析し、SQLインジェクション、XSS、不審なヘッダー、怪しいアクセスパターンなどを、アプリケーションに到達する前に自動でブロックする。

    • メリット: 君がRustで書いたAPIコードの中に、複雑なバリデーションやレートリミットのロジックを書く必要がなくなる。ソースコードはビジネスロジックに集中できる。

  • APIゲートウェイのレート制限:

    • AWS API GatewayやCloudflareなどのサービスを使って、エンドポイントごとに**「1秒間に100リクエストまで」といった制限をインフラ側で設定**する。

2. Layer 3/4 攻撃(総量攻撃)への対策

大量のトラフィックで帯域を飽和させる攻撃は、CDN (Content Delivery Network)クラウドプロバイダーに任せます。

  • CDN/DDoSプロテクション:

    • Cloudflare、Akamai、AWS Shieldなどのサービスは、数テラビット/秒級のボリューム型攻撃トラフィックを、世界中のエッジロケーションで吸収・フィルタリングする。

    • メリット: 攻撃トラフィックが君のサーバー(EC2やNext.js/Rustサーバー)に到達する前に処理されるため、サーバーの帯域幅やリソースを消費しない

💡 開発者としての理想的な状態

RustでAPIを構築する君の役割は、

  1. ビジネスロジックを安全に実行すること。

  2. インフラに設定を渡すこと。

であって、**「大量の不正リクエストを捌くこと」**ではないんだ。

これらの対策をインフラ層にオフロードすることで、ソースコードはシンプルに保たれ、セキュリティレベルは逆に向上するんだね!これが、複雑なセキュリティ問題を解決する最もスマートな方法だよ!😊

グラフビュー

最近の記事

グラフビュー