DDoS攻撃の頻度と規模は時とともにますます増加、拡大している。そのような状況の中、Microsoftは欧州の「Microsoft Azure」ユーザーに対して仕掛けられた2.4Tbpsという非常に大規模なDDoS攻撃を抑止したという。
このDDoS攻撃の規模は、Azureの顧客を標的とした攻撃で過去最大となっている。Azureへの攻撃としてこれまで最大だった2020年の1Tbpsを上回り、Microsoftは「Azureで今までに検知された、あらゆるネットワークのボリューム型のイベントを超えていた」と報告している。
攻撃トラフィックの発生源は約7万におよび、マレーシア、ベトナム、台湾、日本、中国などのアジア太平洋地域の複数の国や米国などだという。
その攻撃ベクターはUDPリフレクション攻撃だった。今回の攻撃は10分以上続き、瞬発的なバーストを複数回伴っていた。各バーストでは数秒間にテラビット規模のトラフィックが発生していた。Microsoftによると、そのピークは全部で3回あり、1回目は2.4Tbps、2回目は0.55Tbps、3回目は1.7Tbpsだったという。
UDPリフレクション攻撃は、UDPが状態管理を伴わないステートレスプロトコルである点を利用するものだ。このため、攻撃者はUDPの送出元IPアドレスとして標的のIPアドレスを設定した、見かけ上は何の問題もないUDPリクエスト(要求)パケットを生成できる。この攻撃手法にリフレクション(反射)という名前が付けられているのは、攻撃パケットがネットワーク上を行き来しているように見えるためだ。こういった攻撃が成立するのは、UDPリクエストパケットの送信元IPアドレスに偽装した値、つまり偽の値を設定できるためだ。攻撃者は、このような偽の送信元IPアドレスを設定したUDPパケットを仲介役となるマシンに送信することになる。するとそのマシンは偽の送信元IPアドレスにだまされ、UDPレスポンス(応答)パケットを、攻撃者のマシンではなく、攻撃対象となっている被害者のIPアドレスに送り返すようになる。仲介役となるマシンがリクエストパケットよりも数倍大きなネットワークトラフィックを生成することで、攻撃トラフィックが増幅され、結果的に大規模な攻撃となる。
リフレクション攻撃では、悪用する攻撃プロトコルによってトラフィックの増幅度合いは変わってくる。しかし、一般的に使用されているDNSやNTP、memcached、CHARGEN、QOTDといったプロトコルはすべて、ネットワークのDDoS攻撃で悪用できる。
Microsoftはこのケースで何が使われたかを明らかにしていないが、DNSに言及している。DNSを悪用する場合、リクエストパケットのバイト数の28~54倍にまでトラフィックを増幅できる。このため、攻撃者がDNSサーバーに対して64バイトのペイロードを持つリクエストを送信した場合、標的となるマシンに対して3400バイトを超える不要なトラフィックが送りつけられることになる。
Microsoftはどのように攻撃を抑止したかについても詳細を明らかにしていない。Microsoftによると、Azureの対DDoSプラットフォームは、分散型DDoS検知と緩和のパイプライン上に構築されており、数十テラビット規模のDDoS攻撃に対応可能だという。
ひとことで言えば、大規模なDDoS攻撃の気配を検知した際、AzureのDDoS統制プレーンにあるロジックが介入するという仕組みになっている。同社によると「これにより、小規模なトラフィック増大を検出するための通常の検知ステップを割愛し、即座に緩和策を起動するようになっている。これにより、緩和に要する時間は最短となり、そのような大規模な攻撃からの副次的な損害を防ぐことを保証する」という。
一部のDDoSからの保護機能はすべてのAzureユーザーに提供されている。より包括的な保護策として、Microsoftは「Azure DDoS Protection Standard」があると説明している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
