はじめに
備忘録です。DoS / DDoS 攻撃について、自分なりにまとめてみました。
本文
1. DoS 攻撃とは
DoS 攻撃 (Denial of Service Attack) とは、標的のサーバーやネットワークに過剰な負荷をかけて、正規のユーザーが利用できない状態にする攻撃です。
サービス妨害攻撃やサービス不能攻撃、サービス拒否攻撃とも呼ばれます。
1-1. DDoS 攻撃
DoS 攻撃のうち、複数の端末(ボットネット)から分散攻撃を行う手法は DDoS 攻撃 (Distributed DoS Attack) と呼ばれます。
分散型サービス妨害攻撃や分散型サービス不能攻撃、分散型サービス拒否攻撃とも呼ばれます。
実際に行われる DoS 攻撃の多くは、この DDoS 攻撃になります。
補足
DoS 攻撃と DDoS 攻撃を対比的に説明する場合には、攻撃元の数に基づいて区別されます。
- DoS 攻撃 ... 単一の攻撃元
- DDoS 攻撃 ... 複数の攻撃元
2. DoS 攻撃の目的
攻撃の主な目的は、標的のサーバーやネットワークに過剰な負荷をかけ、サービスを停止または機能不全に陥らせることです。
その背景にある動機としては、以下のようなものが挙げられます。
- 嫌がらせや愉快犯的行為
- 競合他社への業務妨害
- 金銭目的の脅迫(ランサム型攻撃の前段など)
- 政治的抗議(ハクティビズム)
- 他の攻撃(侵入・情報窃取など)の陽動
補足
DoS 攻撃は、国家間の対立においても利用されることがあり、ロシアのウクライナ侵攻では、ハイブリッド戦争の一環として政府機関やインフラに対するサイバー攻撃に用いられています。
https://xtech.nikkei.com/atcl/nxt/column/18/02438/091500018/
2-1. EDoS 攻撃
標的に経済的な負担をかけることを目的とした DoS 攻撃は、EDoS 攻撃 (Economic DoS Attack) と呼ばれます。
クラウドサービスのオートスケーリングや従量課金モデルを悪用し、攻撃トラフィックによってリソースを自動的に増加させることで、標的の利用料金を増大させます。
3. DoS 攻撃の種類
大きく二つに分けられます。
3-1. リソースの枯渇を狙ったもの
SYN Flood 攻撃
攻撃対象に TCP の接続開始要求である SYN パケットを大量に送信する攻撃です。
攻撃対象の接続待ちキューが枯渇し、正規のユーザーが接続できなくなります。
対策としては SYN Cookie 方式の使用が挙げられます。
補足
SYN Cookie とは、サーバー側で接続情報を保持せず、クライアントからの ACK 応答時に正当性を検証する仕組みです。
これにより、未確立の接続情報をキューに保持しないため、接続待ちキューの枯渇を防ぐことができます。
UDP Flood 攻撃
攻撃対象の UDP ポートに対して、サイズの大きな UDP パケットを大量に送信する攻撃です。
ICMP Flood 攻撃
攻撃対象に ICMP echo (ping) を大量に送信する攻撃です。
Connection Flood 攻撃
攻撃対象の TCP ポートに対して、大量の TCP コネクションを確立して、サーバーの接続枠を占有する攻撃です。
DRDoS 攻撃
DRDoS攻撃 (Distributed Reflective Denial of Service) とは、反射の仕組みを利用した DDoS 攻撃の一種です。
反射型 DoS 攻撃や DoS リフレクション攻撃、分散反射型 DoS 攻撃とも呼ばれます。
この攻撃では、送信元 IP の偽装(スプーフィング)で攻撃対象になりすました攻撃者が、複数のサーバーにリクエストを送信します。リクエストを受信したサーバーがそのレスポンスを攻撃対象に一斉応答することで、攻撃対象に過剰な負荷がかかります。
増幅型 DDoS 攻撃
増幅型 DDoS 攻撃 (Amplification DDoS Attack) とは、少量のリクエストで大きなレスポンスを生成し、攻撃対象に過剰なトラフィックを送りつける DDoS 攻撃の一種です。
補足
DRDoS 攻撃と増幅型 DDoS 攻撃は、参考にするサイトや書籍で呼び方や定義がまちまちに思いました 
実際の攻撃では、反射と増幅の両方の要素を持つ場合が多いため、どちらの要素に焦点を置くかだと解釈してます。
手元の上原本では、これらをまとめて「反射・増幅型 DDoS 攻撃」として扱っていましたが、検索してもあまりヒットしなかったので、今回は使いませんでした 
本記事では DRDoS 攻撃に統一しています。
Smurf 攻撃
ICMP echo を利用した古典的な DRDoS 攻撃の一種です。
漫画『スマーフ』のように、小さなリクエストが多数のホストから一斉に返ってくることから、この名前が付けられました。
DNS リフレクション攻撃
DNS サーバーの応答を利用して攻撃対象にトラフィックを大量送信する DRDoS 攻撃の一種です。
DNS リフレクタ攻撃や DNS アンプ攻撃とも呼ばれます。
NTP リフレクション攻撃
NTP サーバーの monlist コマンドを悪用した DRDoS 攻撃の一種です。
Mirai
2016 年に確認されたマルウェアで、IoT 機器を悪用した DRDoS 攻撃を行います。
補足
Mirai はソースコードが公開されており GitHub でも確認できます。
https://github.com/jgamblin/Mirai-Source-Code
マルチベクトル型 DDoS 攻撃
複数の異なる手法を同時に組み合わせて行う DDoS 攻撃のことです。
3-2. 脆弱性を悪用したもの
LAND 攻撃
送信元 IP アドレス・宛先 IP アドレス・ポート番号を同一にした不正なパケットを送りつける攻撃です。
攻撃を受けたシステムが自分自身と通信しようとして異常状態に陥ることで、処理が停止または著しく遅延します。
Teardrop 攻撃
IP フラグメント(分割されたパケット)の再構成処理の不備を突く攻撃です。
重複や不正なオフセットを持つフラグメントを送りつけることで、OS の再構成処理を混乱させ、クラッシュや不安定化を引き起こします。
Ping of Death
本来の最大サイズである 65535 バイトを超える ICMP パケットを送信することで、受信側のバッファ処理の不備を突き、システムをクラッシュさせる攻撃です。
HTTP Slowloris 攻撃
HTTP の仕様を悪用し、非常に遅い速度でリクエストを送り続けることで接続を長時間占有する攻撃です。
サーバーは接続を維持し続けるため、同時接続数の上限に達し、正規のユーザーが利用できなくなります。
おわりに
まだまだ見えていない部分も多いので、随時更新していきます。