Cloudflare 対 Mirai:ピークで 1,720万 rps の DDoS 攻撃に耐えきった

Cloudflare mitigated one of the largest DDoS attack involving 17.2 million rps

2021/08/20 TheHackerNews — 木曜日に、Web インフラと Web サイトのセキュリティ企業である Cloudflare は、これまでに記録された史上最大のボリュームの、分散型サービス拒否 (DDoS) 攻撃を緩和したと表明した。この攻撃は、先月に Mirai ボットネットを介して行われたもので、金融業界の顧客が標的だった言われている。数秒のうちに、ボットネットは Cloudflare のエッジに3億3,000万以上の攻撃リクエストを浴びせ、一時は 1,720万リクエスト/秒 (rps) というレベルに達し、これまでに報告された HTTP DDoS 攻撃の、約3倍の規模に至ったとのことだ。

Volumetric DDoS 攻撃は、特定のネットワークを標的にして、その帯域幅のキャパシティを超えることを意図しており、攻撃の規模を拡大し、可能な限り多くのオペレーション上の混乱を引き起こすために、反射型増幅技術を利用することが多い。また、DDoS 攻撃は、コンピューターや、サーバー、IoT デバイスなど、マルウェアに感染したシステムの、ネットワークから発生するのが一般的である。これらのマシンは、脅威アクターにより制御され、被害者に向けて大量のジャンク・トラフィックを生成するボットネットに組み込まれることになる。

このインシデントでは、世界125カ国の 20,000台以上のボットからトラフィックが発生しており、攻撃の約 15% はインドネシアから、次いでインド、ブラジル、ベトナム、ウクライナから発生していた。さらに、前述の 1,720万 rps だけで、2021年第 Q2 にクCloudflare が処理した正規の HTTP トラフィック量である、2,500万 rps という平均値の 68% を占めている。この数週の間で、同様の攻撃が検出されていた。Cloudflare は、同じ Mirai ボットネットを使って、あるホスティング・プロバイダーを、ピーク時で 800万 rps を少し下回るレベルで攻撃する、HTTP DDoS 攻撃が行われたと指摘している。

それとは別に、Mirai の亜種であるボットネットが、UDP / TCP ベースの DDoS 攻撃を12回以上行い、ピーク時には 1T bps を超える攻撃を、何回も行ったことが確認されている。一連の攻撃は、アジア太平洋地域に拠点を置く、大手のインターネット・サービスであり、ゲーム/通信/ホスティング・プロバイダーなどを狙ったものであり、いずれも失敗に終わったとされている。Cloudflare は、「攻撃の大部分は小規模で短時間のものだったが、このようなボリュームのある攻撃が、その後も頻繁に発生していることを確認している」と述べている。このレベルのボリュームが、短時間で生じる攻撃は、レガシーな DDoS 保護システムに依存する組織や、常時稼働しているクラウド・ベースの保護機能を持たない組織にとって、きわめて危険であることに留意する必要がある。

先日にポストした「ファイアウォールやミドルボックスは DDoS の最終ウェポン?」によると、ファイアウォールや、侵入防止システム、DPI (Deep Packet Inspection) ボックスなどの、TCP 非準拠ネットワーク・ミドルボックスを用いてトラフィックを増幅する Volumetric 攻撃が、USENIX Security Symposium で発表されたとのことです。この記事にある DDoS 攻撃の方式は、また不明な部分が多いですが、このような新しい手法が使われているのかもしれません。この領域も、終わりのない戦いのようです。

%d bloggers like this: