MTEの説明：DDoS保護の仕組み

長年にわたり、分散型サービス拒否（DDoS）は、ホストされたサービス（WebサイトやPlayStation Networkなどのサービスなど）が少なくともしばらくの間、日の目を見ることがないようにするための信頼性の高い方法でした。

これらの攻撃がもたらす力により、人々はその背後にあるメカニズムに興味を持ちます。そのため、時間をかけてそれらがどのように機能するかを説明し、これらの攻撃の一部がどれほど巨大になる可能性があるかを徹底的に実証しました。それらの1つは、何百万もの人々のためにインターネットのセクター全体を取り出すことさえできます。ただし、対抗策（DDoS保護など）がどのように機能するかについては、公開されている議論はほとんどありません。

DDoS保護に関する議論の問題

インターネットは、1つの巨大で乱雑な空間に接続された膨大な数のネットワークです。世界中のいたるところに、ほぼ光速で移動する何兆もの小さなパケットがあります。その混乱と神秘的な内部の働きを理解するために、インターネットはグループに分けられます。これらのグループは、多くの場合、サブグループなどに分割されます。

これは実際にDDoS保護についての議論を少し複雑にします。家庭用コンピュータがDDoSから身を守る方法は、数百万ドル規模の企業のデータセンターが行う方法と似ていますが、わずかに異なります。そして、私たちはまだインターネットサービスプロバイダー（ISP）にさえ到達していません。 DDoS保護を分類する方法は、数十億の接続、クラスター、大陸交換、およびサブネットでインターネットを構成するさまざまな要素を分類する方法と同じくらい多くあります。

以上のことをすべて踏まえて、問題の関連する重要な詳細すべてに触れる外科的アプローチを試してみましょう。

DDoS保護の背後にある原則

DDoSがどのように機能するかを明確に理解せずにこれを読んでいる場合は、前にリンクした説明を読むことをお勧めします。そうしないと、少し圧倒される可能性があります。着信パケットに対して実行できることは2つあります。無視することができます。 またはリダイレクト 。パケットの送信元を制御できないため、到着を阻止することはできません。それはすでにここにあり、あなたのソフトウェアはそれをどうするかを知りたがっています。

これは私たち全員が従う普遍的な真実であり、私たちをインターネットに接続するISPも含まれます。非常に多くの攻撃が成功するのはそのためです。ソースの動作を制御できないため、ソースは接続を圧倒するのに十分なパケットを送信できます。

ソフトウェアとルーター（ホームシステム）のやり方

コンピューターでファイアウォールを実行している場合、またはルーターにファイアウォールがある場合、通常は1つの基本原則に従って行き詰まります。つまり、DDoSトラフィックが侵入すると、ソフトウェアは不正なトラフィックで侵入しているIPのリストを作成します。

これは、何かが1秒間に50回以上など、不自然な頻度で大量のガベージデータまたは接続要求を送信したときに通知することによってこれを行います。次に、そのソースからのすべてのトランザクションをブロックします。それらをブロックすることにより、コンピュータは内部に含まれるデータを解釈するために余分なリソースを費やす必要がありません。メッセージが宛先に届かないだけです。コンピュータのファイアウォールによってブロックされて接続しようとすると、送信したものがすべて無視されるため、接続タイムアウトが発生します。

これは、シングルIPサービス拒否（DoS）攻撃から保護するための優れた方法のひとつです。攻撃者は、チェックインするたびに接続タイムアウトが発生し、手作業が進行しているかどうかを確認するためです。分散型サービス拒否では、攻撃しているIPからのすべてのデータが無視されるため、これは機能します。

このスキームには問題があります。

インターネットの世界では、「パッシブブロッキング」のようなものはありません。自分に向かってくるパケットを無視しても、リソースが必要です。ソフトウェアを使用している場合、攻撃のポイントはコンピュータで停止しますが、紙の弾丸のようにルーターを通過します。これは、ルーターがすべての不正なパケットを自分の方向にルーティングするために精力的に機能していることを意味します。

ルーターのファイアウォールを使用している場合は、すべてがそこで停止します。ただし、それでも、ルーターが各パケットの送信元をスキャンし、ブロックされたIPのリストを繰り返して、無視するか許可するかを確認していることを意味します。

さて、あなたのルーターが毎秒何百万回も私が言ったことをしなければならないことを想像してみてください。ルーターの処理能力には限りがあります。その制限に達すると、どの高度な方法を使用しても、正当なトラフィックの優先順位付けに問題が発生します。

別の問題について話し合うために、これらすべてを脇に置いておきましょう。あなたが無限の処理能力を持つ魔法のルーターを持っていると仮定すると、あなたのISPはまだあなたに有限の帯域幅を与えています。その帯域幅の上限に達すると、Web上で最も単純なタスクでさえも達成するのに苦労します。

したがって、DDoSの究極の解決策は、無限の処理能力と無限の帯域幅を持つことです。誰かがそれを達成する方法を見つけたら、私たちは黄金です！

大企業が負荷を処理する方法

企業がDDoSを処理する方法の美しさは、その優雅さにあります。企業は、既存のインフラストラクチャを使用して、侵入する脅威に対抗します。通常、これは、ロードバランサー、コンテンツ配信ネットワーク（CDN）、または両方の組み合わせのいずれかを介して行われます。小規模なWebサイトやサービスは、そのような広範なサーバーを維持するための資金がない場合、これをサードパーティにアウトソーシングする可能性があります。

CDNを使用すると、Webサイトのコンテンツは、多くの地理的領域に分散されたサーバーの大規模なネットワークにコピーされます。これにより、接続時に世界のどこにいてもWebサイトがすばやく読み込まれます。

ロードバランサーは、データを再配布してさまざまなサーバーにカタログ化し、ジョブに最適なサーバーの種類によってトラフィックに優先順位を付けることで、これを補完します。優れたハードドライブを備えた低帯域幅サーバーは、大量の小さなファイルを処理できます。膨大な帯域幅の接続を備えたサーバーは、より大きなファイルのストリーミングを処理できます。 （「YouTube」と考えてください。）

これがその仕組みです

これでどこに行くのか分かりますか？攻撃が1つのサーバーに到達した場合、ロードバランサーはDDoSを追跡し、ネットワーク上の他の場所にすべての正当なトラフィックをリダイレクトしながら、そのサーバーを攻撃し続けることができます。ここでの考え方は、分散型ネットワークを活用して、必要な場所にリソースを割り当て、攻撃が「おとり」に向けられている間もWebサイトまたはサービスを実行し続けることができるようにすることです。かなり賢いですよね？

ネットワークは分散化されているため、単純なファイアウォールやほとんどのルーターが提供できるあらゆる保護に対して大きな優位性を獲得します。ここでの問題は、あなた自身の操作を始めるためにあなたがたくさんの現金を必要とするということです。彼らが成長している間、企業は彼らに必要な保護を与えるために大規模な専門プロバイダーに頼ることができます。

巨獣のやり方

私たちは小さなホームネットワークを見学し、巨大企業の領域にも足を踏み入れました。今こそ、この探求の最終段階に踏み込むときです。インターネット接続を提供している企業が、暗黒の深淵に陥るのを防ぐ方法を見ていきます。これは少し複雑になりそうですが、さまざまなDDoS保護方法に関するよだれを誘発する論文を使わずに、できるだけ簡潔にしようと思います。

ISPには、トラフィックの変動を処理する独自の方法があります。ほとんどのDDoS攻撃は、ほぼ無制限の帯域幅にアクセスできるため、レーダーにほとんど登録されません。午後7時から11時（別名「インターネットラッシュアワー」）の毎日のトラフィックは、平均的なDDoSストリームから得られる帯域幅をはるかに超えるレベルに達します。

もちろん、これは私たちが話しているインターネットであるため、トラフィックがレーダーのブリップ以上のものになる場合があります（そしてしばしばそうなっています）。

これらの攻撃は強風に襲われ、小規模なISPのインフラストラクチャを圧倒しようとします。プロバイダーが眉を上げると、この脅威に対抗するために自由に使えるツールの武器庫にすぐに到達します。これらの人は自由に使える巨大なインフラストラクチャを持っているので、これがダウンする可能性のある多くの方法があることを忘れないでください。最も一般的なものは次のとおりです。

• リモートでトリガーされるブラックホール – SF映画のようなもののように聞こえますが、RTBHはシスコによって文書化された本物です。これを行うには多くの方法がありますが、「迅速で汚い」バージョンを紹介します。ISPは、攻撃元のネットワークと通信し、その方向に送信されるすべての発信トラフィックをブロックするように指示します。着信パケットをブロックするよりも、発信するトラフィックをブロックする方が簡単です。確かに、ターゲットISPからのすべては、攻撃のソースから接続している人々にはオフラインであるかのように見えますが、それは仕事を成し遂げ、多くの面倒を必要としません。世界の他のトラフィックは影響を受けません。
• スクラバー –一部の非常に大規模なISPには、トラフィックパターンを分析してDDoSトラフィックから正当なトラフィックを分類できる処理装置でいっぱいのデータセンターがあります。多くのコンピューティングパワーと確立されたインフラストラクチャが必要なため、小規模なISPは、この仕事を別の会社にアウトソーシングすることに頼ることがよくあります。影響を受けるセクターのトラフィックはフィルターを通過し、正当なトラフィックが通過できる間、ほとんどのDDoSパケットはブロックされます。これにより、大量のコンピューティング能力を犠牲にしてISPの通常の運用が保証されます。
• 一部のトラフィックブードゥー –「トラフィックシェーピング」と呼ばれる方法を使用して、ISPは、他のすべてのノードをそのままにして、DDoS攻撃がもたらすすべてのものを宛先IPに送り込みます。これは基本的に、ネットワークの残りの部分を保存するために犠牲者をバスの下に投げ込みます。これは非常に醜いソリューションであり、ネットワークが深刻な危機に瀕している場合にISPが使用する最後のソリューションであることが多く、全体の存続を確保するために迅速で断固とした行動が必要です。 「多くの人のニーズが少数の人のニーズを上回っている」シナリオと考えてください。

DDoSの問題は、その有効性がコンピューターの電力と帯域幅の可用性の進歩と密接に関連していることです。この脅威に実際に対抗するには、平均的なホームユーザーの能力をはるかに超える高度なネットワーク変更方法を使用する必要があります。世帯がDDoSの直接の標的にならないことは、おそらく良いことです！

ちなみに、これらの攻撃がどこで発生しているかをリアルタイムで確認したい場合は、デジタル攻撃マップを確認してください。

自宅や職場でこの種の攻撃の犠牲になったことがありますか？コメントであなたのストーリーを教えてください！