DDoS攻撃を理解する:WordPress管理者向けのガイド

公開: 2019-10-10

分散型サービス拒否(DDoS)は、サービス拒否(DoS)攻撃の一種であり、攻撃は1つではなく複数のホストから発生するため、ブロックを非常に困難にします。 他のDoS攻撃と同様に、目的は、何らかの方法でターゲットをオーバーロードすることにより、ターゲットを使用不可にすることです。

一般に、DDoS攻撃には、多数のコンピューターまたはボットが含まれます。 攻撃中、各コンピューターは悪意を持ってターゲットに過負荷をかける要求を送信します。 典型的なターゲットは、WordPressWebサイトを含むWebサーバーとWebサイトです。 その結果、ユーザーはWebサイトまたはサービスにアクセスできなくなります。 これは、サーバーがリソースを使用してこれらの要求を排他的に処理することを余儀なくされているために発生します。

WordPress管理者は、DDoS攻撃を理解し、それに備えることが重要です。 それらはいつでも発生する可能性があります。 この記事では、DDoSを詳細に調査し、WordPressサイトを保護するためのヒントをいくつか紹介します。

DDoSは、ハッキングではなく、混乱を目的とした攻撃です。

DDoS攻撃は、従来の意味での悪意のあるWordPressハッキングではないことを理解することが重要です。 ハッキングとは、許可されていないユーザーが、アクセスしてはならないサーバーやWebサイトにアクセスすることを意味します。

従来のハッキングの例は、攻撃者がコードの脆弱性を悪用した場合、またはパケットスニファを使用してWordPressパスワードを盗んだ場合です。 ハッカーが資格情報を取得すると、データを盗んだり、Webサイトを制御したりできます。

DDoSは別の目的を果たし、特権アクセスを必要としません。 DDoSは、単にターゲットの通常の操作を妨害することを目的としています。 従来のハッキングでは、攻撃者はしばらく気づかれずにいたいと思うかもしれません。 DDoSを使用すると、攻撃者が成功した場合、ほとんどすぐにわかります。

さまざまな種類の分散型サービス拒否攻撃

DDoSは、単一のタイプの攻撃だけではありません。 いくつかの異なるバリエーションがあり、それらはすべて、内部では少し異なる動作をします。 DDoSカテゴリには、攻撃を分類できるいくつかのサブカテゴリがあります。 以下にリストされているのは最も一般的なものです。

ボリュームDDoS攻撃

ボリュームDDoS攻撃は技術的に単純です。攻撃者は、帯域幅容量を過負荷にする要求でターゲットを氾濫させます。 これらの攻撃は、WordPressを直接標的にするものではありません。 代わりに、基盤となるオペレーティングシステムとWebサーバーを対象としています。 それにもかかわらず、これらの攻撃はWordPressWebサイトに非常に関連しています。 攻撃者が成功した場合、WordPressサイトは、攻撃の期間中、正当な訪問者にページを提供しません。

このカテゴリに分類される特定のDDoS攻撃には、次のものがあります。

  • NTP増幅
  • UDPフラッド

アプリケーション層のDDoS攻撃

アプリケーション層のDDoS攻撃は、アプリケーション層であるレイヤー7に焦点を当てています。 これは、ApacheまたはNGINX Webサーバー、およびWordPressWebサイトに焦点を合わせていることを意味します。 レイヤー7の攻撃は、消費された帯域幅に比べて与えられるダメージに関しては、より多くの利益を得ることができます。

その理由を理解するために、WordPress RESTAPIに対するDDoS攻撃の例を見ていきましょう。 攻撃は、ホストマシンの1つからのHTTPGETやHTTPPOSTなどのHTTPリクエストから始まります。 このHTTPリクエストは、ホスト上で比較的わずかな量のリソースを使用します。 ただし、ターゲットサーバーでは、いくつかの操作がトリガーされる場合があります。 たとえば、サーバーは資格情報を確認し、データベースから読み取り、Webページを返す必要があります。

この場合、攻撃者が使用した帯域幅とサーバーが消費したリソースの間に大きな不一致があります。 この格差は通常、攻撃中に悪用されます。 このカテゴリに分類される特定のDDoS攻撃には、次のものがあります。

  • HTTPフラッド
  • スローポスト攻撃

プロトコルベースのDDoS攻撃

プロトコルベースのDDoS攻撃は、他のDDoS攻撃と同じ排気リソースモデルに従います。 ただし、一般的には、サービスやアプリケーションではなく、ネットワーク層とトランスポート層に重点を置いています。

これらの攻撃は、ファイアウォールやサーバーで実行されている基盤となるTCP \ IPスタックなどのアプライアンスを標的にしてサービスを拒否しようとします。 これらは、サーバーのネットワークスタックがネットワークパケットを処理する方法、またはTCP通信が機能する方法の脆弱性を悪用します。 プロトコルベースのDDoS攻撃の例は次のとおりです。

  • Synフラッド
  • 死のping

マルチベクトルDDoS攻撃

ご想像のとおり、攻撃者は1種類の攻撃に限定することはありません。 DDoS攻撃がマルチベクトルアプローチを採用することがますます一般的になっています。 マルチベクトルDDoS攻撃は、まさにあなたが期待するものです。複数の手法を使用してターゲットをオフラインでノックするDDoS攻撃です。

DDoSでの反射と増幅を理解する

DDoS攻撃で頻繁に発生する2つの用語は、リフレクションと増幅です。 これらは両方とも、攻撃者がDDoS攻撃をより効果的にするために使用する手法です。

リフレクションは、攻撃者がスプーフィングされたIPアドレスを使用してリクエストをサードパーティのサーバーに送信する手法です。 スプーフィングされたIPアドレスは、ターゲットのアドレスです。 これらのタイプの攻撃の間、攻撃者は通常、さまざまなUDPプロトコルを使用します。 仕組みは次のとおりです。

  1. 攻撃者は、スプーフィングされたIPアドレス(WordPressサイトのIPなど)を使用してUDP要求をリフレクターと呼ばれる多数のサーバーに送信します。
  2. リフレクターはリクエストを受信し、WordPressサイトのIPに同時に返信します。
  3. リフレクターの応答はWordPressサイトを氾濫させ、サイトを過負荷にして利用できなくなる可能性があります。

増幅は反射と同様に機能します。 必要な帯域幅とリソースは少なくなりますが、リフレクターに送信される要求は、リフレクターがターゲットに送信する応答よりもはるかに小さいためです。 これは、アプリケーション層の分散型サービス拒否攻撃で見たものと同様に機能します。

DDoS攻撃におけるボットネットの役割

攻撃者が攻撃を調整するためのリソースをどこから入手するのか疑問に思ったことはありませんか?

答えはボットネットです。 ボットネットは、マルウェアによって侵害された1つまたは複数のネットワークです。 これは、PC、サーバー、ネットワーク、またはスマートデバイスである可能性があります。 このマルウェアにより、攻撃者は侵害された個々のホストをリモートで制御できます。

ボットネットをDDoSに使用すると、特定のターゲットホストまたはホストのグループに対して協調的なサービス拒否攻撃が実行されます。 つまり、ボットネットを使用すると、攻撃者は感染したコンピュータのリソースを利用して攻撃を実行できます。 たとえば、これは、2018年に20,000を超えるWordPressサイトが他のWordPressサイトに対してDDoS攻撃を実行するために使用された場合です(続きを読む)。

分散型サービス拒否攻撃の背後にある動機

「なぜ人々はDDoS攻撃を実行するのですか?」 この時点で尋ねるのは良い質問です。 過去に悪意のあるハッカーがWordPressサイトを標的にする理由を確認しましたが、実際にDDoSに当てはまるのはハクティビズムの1つだけです。 誰かがあなたの見解に同意しない場合、彼らはあなたの声を黙らせたいと思うかもしれません。 DDoSは、そうするための手段を提供します。

過去の活動を見ると、国家レベルのサイバー戦争や商業的動機による産業攻撃もDDoSの推進力となる可能性があります。 また、いたずら好きな攻撃者、10代の若者が楽しんで、DDoSを使用して混乱を引き起こしていることもよくあります。

もちろん、最大の動機の1つはお金です。 攻撃者は、WordPressWebサイトへの攻撃を停止するために身代金を要求する場合があります。 あなたのサイトがダウンしている場合、彼らは商業的に利益を得る可能性があります。 これをさらに一歩進めて、雇用サービスのためのDDoSがありました!

分散型サービス拒否の実際の例

分散型サービス拒否攻撃はどの程度深刻になる可能性がありますか? 過去数年間の有名なDDoS攻撃を見てみましょう。

GitHub(2回!): GitHubは1015年に大規模なサービス拒否攻撃を受けました。攻撃は、プラットフォーム上の2つの検閲防止プロジェクトを狙ったもののようです。 攻撃は、GitHubのパフォーマンスと可用性に数日間影響を与えました。

その後、2018年にGitHubが再びDDoS攻撃の標的になりました。 今回、攻撃者はmemcachingに基づく攻撃を使用しました。 彼らは増幅と反射の方法を活用しました。 攻撃の規模にもかかわらず、攻撃者はGitHubを約10分間だけダウンさせました。

エストニアの国: 2007年4月は、国全体に対する最初の既知のサイバー攻撃でした。 エストニア政府がタリンの中心から軍事墓地にブロンズ兵士の像を移動することを決定した直後に、暴動と略奪が発生しました。 同時に、攻撃者は数週間続く分散型サービス拒否攻撃を数多く開始しました。 それらは、国内のオンラインバンキング、メディア、および政府サービスに影響を与えました。

Dyn DNS: 2016年10月21日、Dynは大規模なDDoS攻撃を受けました。 攻撃のため、DynDNSサービスはユーザークエリを解決できませんでした。 その結果、Airbnb、Amazon.com、CNN、Twitter、HBO、VISAなどのトラフィックの多い何千ものWebサイトが利用できなくなりました。 攻撃は、Webカメラやベビーモニターを含む多数のIoTデバイスを介して調整されました。

DDoS攻撃から保護するためのWordPressのヒント

個々のWordPress管理者として、DDoS攻撃をかわすためのリソースとインフラストラクチャがありません。 多くのWordPressWebホストは、ある種のDDoS攻撃の軽減を提供していますが。 それで、あなたのワードプレスウェブサイトのためのホスティングプロバイダーを選ぶとき、それについて尋ねてください。 WordPress / Webアプリケーションファイアウォール(WAF)とコンテンツ配信ネットワーク(CDN)を使用することもできます。 Sucuriのように、両方を1つのソリューションで提供するプロバイダーがあるため、WAFとCDNを1つのエントリに結合しました。

WAFまたはCDNを使用する場合、トラフィックは最初にサービスによってルーティングおよびフィルタリングされてから、Webサイトにアクセスします。 この設定は、他の人のダメージを制限しながら、パスで多くの攻撃を阻止することができます。 一部のCDNは、DDoS攻撃の検出と対応を可能にする利点を提供します。 クラウドの規模の経済の恩恵を受けることができるため、CDNとオンラインWAFは攻撃の負荷を軽減できます。 十分な帯域幅とそれらを処理するための適切なツールを備えたネットワークにリダイレクトします。

ハッカーとDDoS攻撃の阻止

ただし、WordPress BruteForce Botnetで見たように、WordPress Webサイトに実装できるセキュリティのベストプラクティスがいくつかあるため、攻撃者の注意を引き付けたり、DDoS攻撃を引き起こしたりすることはありません。

  • WordPressサイトを最新の状態に保ちます。WordPressコア、プラグイン、テーマ、および使用する他のすべてのソフトウェアを最新の状態に保つことで、既知の脆弱性が使用されるリスクを軽減します。 サイトを最新の状態に保つことで、サイトがボットネットの一部になる可能性も低くなります。
  • スキャナーを使用して脆弱性をチェックします。一部のDoS攻撃は、Slowlorisなどの問題を悪用します。 これやその他のセキュリティ上の欠陥は、脆弱性スキャナーによって検出できます。 したがって、WebサイトとWebサーバーをスキャンすると、DDoS攻撃が悪用する可能性のある脆弱性を特定することがよくあります。 使用できるスキャナーにはさまざまなものがあります。 WordPress管理者には、邪魔にならないWPScanセキュリティスキャナーを使用します。
  • ログを確認してセキュリティを向上させ、問題を特定します。WordPressの監査ログやその他のログは、悪意のある動作を早期に特定するのに役立ちます。 ログを通じて、特定のHTTPエラーコードなど、DDoS攻撃によって引き起こされる可能性のある問題を特定できます。 ログを使用すると、攻撃のソースをドリルダウンして分析することもできます。 WordPress管理者がWebサイトをより適切に管理および保護するために使用できるログファイルがいくつかあります。
  • ユーザー認証を強化する:これが最後のベストプラクティスかもしれませんが、他のすべてと同じくらい重要です。 強力なWordPressパスワードポリシーを実装して、Webサイトユーザーが強力なパスワードを使用できるようにします。 さらに、2要素認証プラグインをインストールし、2要素認証を必須にするポリシーを実装します。