Cloudflareが毎秒2600万件の過去最大級のDDoS攻撃に対処

はじめに

もう十年以上前になると思うが、初見のエンジニアさんとのSNSの雑談で「ISP側で、Source IPと経路情報に基づいて、DDoSをブロックする事は可能？」と訊いてみた。
エンジニアさん曰く「経路の妥当性判断が難しいようだ」との事。

その時は、UDP系の偽造IPと増幅型攻撃を念頭においた質問だった。今回のHTTPSはTCP系（3 way hand shake によるセッション確立が前提）となるので、攻撃も防御も全く異なるロジックなのだろう。

では、本件では、どのように攻撃を識別しているのか?　それが分かり易く説明されていると訴求力がさらに挙がるように思える。（というか勉強も追いついていないので焦りを感じている。💦）

また、DDoSはクラウド事業者やISP等の川上産業が頻繁に取り上げる一方で、一般人の私には身近さが感じられない。体験談があれば、情報共有希望します。

さて、以下、クラウドフレア記事の原文と翻訳を掲示しておく。

 

Cloudflare mitigates 26 million request per second DDoS attack (06/14)

Last week, Cloudflare automatically detected and mitigated a 26 million request per second DDoS attack — the largest HTTPS DDoS attack on record.

先週、Cloudflare は 1 秒間に 2600 万リクエストの DDoS 攻撃を自動的に検知し、軽減しました。これは HTTPS DDoS 攻撃としては過去最大のものです。

The attack targeted a customer website using Cloudflare’s Free plan. Similar to the previous 15M rps attack, this attack also originated mostly from Cloud Service Providers as opposed to Residential Internet Service Providers, indicating the use of hijacked virtual machines and powerful servers to generate the attack — as opposed to much weaker Internet of Things (IoT) devices.

この攻撃は、Cloudflareの無料プランを利用しているお客様のウェブサイトを標的としたものです。この攻撃は、前回の1,500万回/秒の攻撃と同様に、一般家庭のインターネットサービスプロバイダーではなく、クラウドサービスプロバイダーから発生したもので、乗っ取った仮想マシンや強力なサーバーが攻撃に使われたことがわかります。

●毎秒2600万リクエストのDDoS攻撃グラフ

 

Record-breaking attacks　.. 記録を塗り替える攻撃

Over the past year, we’ve witnessed one record-breaking attack after the other. Back in August 2021, we disclosed a 17.2M rps HTTP DDoS attack, and more recently in April, a 15M rps HTTPS DDoS attack. All were automatically detected and mitigated by our HTTP DDoS Managed Ruleset which is powered by our autonomous edge DDoS protection system.

この1年間、私たちは次々と記録的な攻撃を目撃してきました。2021年8月には1720万rpsのHTTP DDoS攻撃、最近では4月に1500万rpsのHTTPS DDoS攻撃を公開しました。これらはすべて、当社の自律型エッジDDoS保護システムを搭載したHTTP DDoS Managed Rulesetによって自動的に検出され、軽減されたものです。

The 26M rps DDoS attack originated from a small but powerful botnet of 5,067 devices. On average, each node generated approximately 5,200 rps at peak. To contrast the size of this botnet, we’ve been tracking another much larger but less powerful botnet of over 730,000 devices. The latter, larger botnet wasn’t able to generate more than one million requests per second, i.e. roughly 1.3 requests per second on average per device. Putting it plainly, this botnet was, on average, 4,000 times stronger due to its use of virtual machines and servers.

26M rpsのDDoS攻撃は、5,067台のデバイスからなる小規模ながら強力なボットネットから発生しました。平均して、各ノードはピーク時に約5,200 rpsを発生させました。このボットネットの規模を比較するために、私たちは、730,000台以上のデバイスから構成される、規模ははるかに大きいが強力ではない別のボットネットを追跡しています。後者のボットネットは、1秒間に100万以上のリクエストを生成することができず、デバイスあたりの平均リクエスト数は1秒間に約1.3回でした。つまり、このボットネットは、仮想マシンとサーバーを使用しているため、平均して4,000倍強力だったということになります。

Also, worth noting that this attack was over HTTPS. HTTPS DDoS attacks are more expensive in terms of required computational resources because of the higher cost of establishing a secure TLS encrypted connection. Therefore, it costs the attacker more to launch the attack, and for the victim to mitigate it. We’ve seen very large attacks in the past over (unencrypted) HTTP, but this attack stands out because of the resources it required at its scale.

また、この攻撃が HTTPS を介して行われたことも特筆すべき点です。HTTPS DDoS 攻撃は、安全な TLS 暗号化接続を確立するためのコストが高いため、必要な計算機資源の点で高くつきます。したがって、攻撃者が攻撃を仕掛けるにも、被害者が攻撃を軽減するにも、より多くのコストがかかることになります。過去にも（暗号化されていない）HTTPを使った非常に大規模な攻撃はありましたが、今回の攻撃は、その規模に必要なリソースという点で際立っています。

（注、攻撃者がその気になればHTTPS DDoSも有りうるので、「HTTPS化がDDoS軽減策にはならない」ということ）

Within less than 30 seconds, this botnet generated more than 212 million HTTPS requests from over 1,500 networks in 121 countries. The top countries were Indonesia, the United States, Brazil and Russia. About 3% of the attack came through Tor nodes.

このボットネットは、30 秒以内に 121 カ国、1,500 を超えるネットワークから 2 億 1,200 万以上の HTTPS リクエストを生成しています。上位の国は、インドネシア、米国、ブラジル、ロシアでした。また、攻撃の約3%がTorノード経由で行われました。

●図、攻撃元の上位国

The top source networks were the French-based OVH (Autonomous System Number 16276), the Indonesian Telkomnet (ASN 7713), the US-based iboss (ASN 137922) and the Libyan Ajeel (ASN 37284).

攻撃元ネットワークの上位は、フランスのOVH（自治体番号16276）、インドネシアのTelkomnet（ASN 7713）、米国のiboss（ASN 137922）、リビアのAjeel（ASN 37284）でした。

●攻撃元ネットワーク上位のチャート

 

The DDoS threat landscape　.. DDoSの脅威の状況

It’s important to understand the attack landscape when thinking about DDoS protection. When looking at our recent DDoS Trends report, we can see that most of the attacks are small, e.g. cyber vandalism. However, even small attacks can severely impact unprotected Internet properties. On the other hand, large attacks are growing in size and frequency — but remain short and rapid. Attackers concentrate their botnet’s power to try and wreak havoc with a single quick knockout blow — trying to avoid detection.

DDoS対策について考える際には、攻撃の状況を理解することが重要です。最近のDDoS Trendsレポートを見ると、サイバー破壊行為など、ほとんどの攻撃が小規模であることがわかります。しかし、小規模な攻撃であっても、保護されていないインターネットのプロパティに深刻な影響を与える可能性があります。一方、大規模な攻撃は、その規模や頻度が増加していますが、依然として短時間かつ迅速です。攻撃者は、ボットネットのパワーを集中させて、一撃必殺の破壊力を発揮し、検知を回避しようとします。

DDoS attacks might be initiated by humans, but they are generated by machines. By the time humans can respond to the attack, it may be over. And even if the attack was quick, the network and application failure events can extend long after the attack is over — costing you revenue and reputation. For this reason, it is recommended to protect your Internet properties with an automated always-on protection service that does not rely on humans to detect and mitigate attacks.

DDoS攻撃は人間が始めたものかもしれませんが、機械によって生成されたものです。人間が攻撃に対応できるようになる頃には、攻撃が終わっている可能性があります。また、攻撃が迅速であったとしても、ネットワークやアプリケーションの障害事象は攻撃終了後も長く続き、収益や評判を損ねる可能性があります。このため、攻撃の検知と軽減を人間に頼らない自動化された常時接続型保護サービスで、インターネット資産を保護することが推奨されます。
 

Helping build a better Internet .. より良いインターネットを構築するための支援

At Cloudflare, everything we do is guided by our mission to help build a better Internet. The DDoS team’s vision is derived from this mission: our goal is to make the impact of DDoS attacks a thing of the past. The level of protection that we offer is unmetered and unlimited — It is not bounded by the size of the attack, the number of the attacks, or the duration of the attacks. This is especially important these days because as we’ve recently seen, attacks are getting larger and more frequent.

クラウドフレアでは、より良いインターネットの構築を支援するというミッションのもと、すべての行動が行われています。DDoSチームのビジョンはこのミッションから導き出されたものです。私たちの目標は、DDoS攻撃の影響を過去のものにすることです。私たちが提供する保護レベルは、アンメーターかつ無制限です。攻撃のサイズ、攻撃の数、または攻撃の持続時間に縛られることはありません。これは、最近特に重要なことです。なぜなら、最近見られるように、攻撃はより大きく、より頻繁になってきているからです。

Not using Cloudflare yet? Start now with our Free and Pro plans to protect your websites, or contact us for comprehensive DDoS protection for your entire network using Magic Transit.

まだCloudflareをお使いではないですか？また、Magic Transitを使用したネットワーク全体の包括的なDDoS保護については、弊社までお問い合わせください。

 

出典

Cloudflare mitigates 26 million request per second DDoS attack (06/14 Cloudflare)

 

参考

Cloudflareが毎秒2600万件のDDoS攻撃を検知して軽減に成功 (06/15 GigaZine)