DDoS攻撃の仕組み・目的・防御を整理してみた話
対象読者とこの記事のスタンス
この投稿は、以下のような方を対象にしています:
- Web サービスやインフラの開発・運用をしている方
- DDoS 攻撃に興味はあるが、まだ体系的に理解できていない方
- CDN や WAF を使っているが、攻撃の仕組みまで深く知らない方
✅ この記事で触れること
- DDoS 攻撃の分類(L3/L4 と L7)
- UDPリフレクション攻撃の仕組みと例
- 攻撃者の目的・心理戦
- CDN や WAF の有無での影響
- DDoS 防御の現実的な設計選択肢
❌ この記事で触れないこと
- 各クラウドサービス(AWS/GCP等)での設定手順
- WAF ルールの具体的チューニング方法
- 攻撃ツールの使用や再現
DDoS攻撃とは?
DDoS(Distributed Denial of Service)攻撃は、複数の端末から一斉にサーバーへリクエストを送り、システムをダウンさせる攻撃手法です。
| タイプ | 概要 |
|---|---|
| DoS | 単一の端末から攻撃 |
| DDoS | 複数端末(≒ボットネット)からの分散攻撃 |
検知されにくく、効果も高いため、近年は DDoS が主流です。
攻撃レイヤー別の狙い
| レイヤー | 狙い | 例 | 防御対象 |
|---|---|---|---|
| L3 / L4 | 回線・ネットワーク負荷 | ICMP Flood、UDP Flood | CDN / Edge |
| L7 | アプリ処理の限界を狙う | 動的APIへの大量アクセス | オリジンサーバー |
L3/L4攻撃:“量”で潰す
大量のトラフィックを送り、CDNやネットワーク機器を物理的にパンクさせる手法です。
代表的な手法
- ICMP Flood(ping 連打)
- SYN Flood(握手だけ大量に投げる)
- UDP Amplification(反射攻撃、詳細は後述)
攻撃の症状
- DNS 応答はあるのに接続できない
- ブラウザで 522/503 やタイムアウト
防御手段
- Anycast(同じIPに複数拠点で応答)
- レート制限
- 大規模分散CDNネットワーク
L7攻撃:“論理”で抜く
キャッシュを回避し、CPUやDBリソースを大量に消費させるタイプ。
攻撃例
GET /api/search?q=random
User-Agent: Mozilla/5.0
Cookie: session=...
- 動的検索など、キャッシュ対象外を狙う
- User-Agent や Cookie で Bot に見せない工夫をする
防御手段
- キャッシュ範囲の工夫(検索結果の一部キャッシュ等)
- WAF の活用
- リクエストの正規化(パラメータ統一)
UDPリフレクション:反射で浴びせる美学
UDP は “投げっぱなし型” 。これを利用して、攻撃対象を偽装してレスポンスを集中させるのがリフレクション攻撃です。
送信者: 攻撃者
送信元IP: 被害者のIPに偽装
→ 被害者に大量のレスポンスが届く
使用されやすいプロトコルと増幅係数
| プロトコル | 内容 | 増幅倍率 |
|---|---|---|
| DNS | ANYクエリで情報を多く返す | x28〜x54 |
| NTP |
monlistコマンドで過去アクセス履歴を返す |
x500〜x1000 |
| Memcached | UDPでGET → 全データを返す(無認証) | x50000 😱 |
攻撃者は「少しのリクエスト」で「大量のレスポンス」を生み出し、ターゲットにぶつけるのが狙いです。
防御方法
- 無防備な Open Resolver や NTP サーバーをインターネット上から非公開にする
- BCP38 の実施(送信元IPの偽装を防ぐルーター設定)
- UDPトラフィックに対するレート制限やフィルタの適用
CDNがいない構成は「ボーナスタイム」!?
AWS S3直公開や API サーバーをCDN経由なしで運用している構成は、攻撃者にとって格好のターゲットです。
- CDN がいない = WAF や Anycastなどの防御機構が存在しない
- S3 や BaaS 側の DDoS 耐性にも限界がある(503, レイテンシ増)
- すべての防御を自前で設計・実装する必要がある
DDoSは心理戦にも使われる
技術的なリソース消費以外に、管理者を混乱させるための陽動としてDDoS攻撃が使われることもあります。
攻撃者のシナリオ例
- DDoS攻撃でトラフィックを急増させる
- WAFやFWが遮断を開始
- 正規ユーザーにも影響 → 苦情が管理者へ殺到
- 現場が混乱 → 「いったんルールを緩めようか…」
- その瞬間に本命の侵入や改ざんが実行される
🧠 攻撃者は「焦る人間ほどルールを緩める」ことをよく理解しています。
攻撃コストはサブスク並みに安い
最近では、DDoS攻撃はダークウェブなどで簡単に“購入”できます。
| 攻撃時間 | 費用の目安 |
|---|---|
| 数分〜1時間 | $5〜$30 |
| 1日中継続 | $100 |
| 月額契約(無制限) | $500〜$1000 |
よくある誤解と実情
- ❌「うちは小さいから関係ない」
- ❌「攻撃されるほど有名じゃない」
- ✅「目障りだから」「気に食わない」だけでもターゲットになりうる
- ✅ 攻撃単価が下がっているので、“採算度外視”の攻撃が増えている
✅ まとめ
- DDoSは「ただの大量アクセス」ではなく、レイヤーごとに戦略がある
- UDPの反射やL7の論理攻撃、心理戦まで多様化している
- CDNやWAFがない構成は攻撃者から見て好都合
- 目的は金銭・妨害・陽動・名声など、“侵入”以外のゴールも多い
- 防御は「設計」段階からの備えが必要
🗒️ 書いたきっかけ
AWS WAF のアップデートで「DDoS攻撃の保護ルールが追加された」といった内容の記事を見かけ、
「WAFってL7レイヤーでしょ?でもDDoSってL3/L4じゃないの?」
と違和感を覚えて調べていたら、想像以上に面白くて奥深かったので、まとめてみました。
ここまで読んでいただき、ありがとうございました!