DDoS攻撃とcc攻撃の原理と一般的な防御策（例）

によって linghuchong@管理者

2025年1月30日

ホスティング情報

攻撃されることは良いことでもあり、悪いことでもある。

良いことは、サイトのトラフィックが大きいということです、何人かの人々は、10年以上のウェブマスターインターネットの経験になると思う、このような状況が発生することはよくあることです。毎日、いくつかのサーバーが攻撃され、マルチ回転技術に加えて、防衛の低バージョンを使用しています。つまり、マシンが直接上記の別のものに切り替えて殺された、そのような技術を持つアリペイなどの有名な中国企業は、彼らは攻撃の数億の遭遇の一瞬一瞬です。

I. DDoS攻撃とCC攻撃の原理

1.DDoS（分散型サービス拒否）攻撃の原理

DDoS攻撃とは、攻撃者が多数の傀儡マシン（ボットネット）を操って標的サーバーに大量のリクエストを送信することで、標的サーバーのリソース（帯域幅、CPU、メモリなど）が不足し、正規のユーザーリクエストを正常に処理できなくなり、サービスの中断につながる分散型サービス拒否攻撃のこと。一般的なDDoS攻撃には、UDPフラッディング攻撃、TCP SYNフラッディング攻撃などがある。

01, DDoS攻撃の初期段階

初期のDDoS攻撃は、単純な"死のピング「デッドシグナル）攻撃は、攻撃者が大量の異常なping要求を送信し、ターゲットのホストやネットワークがその要求を処理できないようにするものです。ネットワークの帯域幅が広がるにつれて、この種の攻撃は徐々に高度な攻撃に取って代わられつつある。

02、現代のDDoS攻撃の複雑さ

現代のDDoS攻撃は、通常のトラフィック攻撃だけにとどまらず、攻撃者はクラウド・コンピューティングやビッグデータなどの技術を利用して大規模なボットネットを構築し、攻撃を仕掛けることができる。ある種の攻撃者は、ボットネット（ボット網）のレンタルサービスを利用して、時間課金により大規模な攻撃を仕掛けることさえあります。

03、攻撃の規模と標的の変化

DDoS攻撃の規模は徐々に巨大化し、トラフィックが数百Gbpsに達する攻撃もあり、攻撃対象も政府や金融など従来の高価値なターゲットにとどまらず、企業やウェブサイト、個人を攻撃対象とするケースも増えている。さらに近年では、従来のネットワーク保護対策を効果的に回避できるアプリケーション層攻撃（HTTPフラッドなど）が攻撃者の新たなお気に入りとなっている。

2.CC（チャレンジ・コラプサー）の攻撃原理

CC攻撃は、アプリケーション層DDoS攻撃の一種で、主にウェブサイトのアプリケーションプログラムを狙います。攻撃者は、多数のクライアントを制御することで、通常のユーザーを模倣し、標的のウェブサイトに大量のHTTPリクエストを送信し、サーバーのアプリケーション・リソース（ウェブ・サーバーのスレッド、データベース接続など）を使い果たし、ウェブサイトが通常のユーザーのリクエストに応答できなくなるようにします。

II.一般的な防御方法

1.基本的な防衛手段

ハイディフェンスサーバーの使用(例香港高防衛BGPライン)
トラフィック・クリーニングのためのCDNの設定(例：Cloudflare。プロフェッショナル・ハイディフェンスCDN)
単一IPアクセス頻度の制限(Nginxのレート制限を使用)
ウェブアプリケーションファイアウォール（WAF）の採用

2.DDoS防御方法

フロークリーニングネットワーク・トラフィックは、専門のクリーニング装置またはサービス・プロバイダーに誘導され、トラフィックの特性を分析することによって攻撃トラフィックを識別・除外し、正当なトラフィックのみをターゲット・サーバーに転送する。
制限速度攻撃トラフィックの大量流入によるサーバーのリソース不足を防ぐため、サーバーへの受信トラフィックのレートを制限する。
ファイアウォール・ポリシー特定のIPアドレスまたはIPセグメントへのアクセスを制限し、異常なトラフィックをフィルタリングするファイアウォールルールを設定します。

3.CC防衛モダリティ

CAPTCHA、チャレンジ・レスポンス・テストの一種（コンピューティング）ログインやフォーム送信など、ウェブサイトの主要なページにCAPTCHAを追加し、サイトへのアクセスを継続するためにユーザーにCAPTCHAの入力を要求することで、通常のユーザーと自動化された攻撃プログラムを区別する。
セッション管理ユーザーセッションを管理し、同一IPアドレスからの短時間のリクエスト数を制限することで、悪意のあるユーザーが頻繁にリクエストを送信することを防ぎます。
負荷分散ロードバランサーを使用して、ユーザーリクエストを複数のサーバーに均等に分散し、1つのサーバーへの負担を軽減します。

III、コード例（単純なCC攻撃防御のPythonシミュレーション）

以下は、短時間に同じIPアドレスへのリクエスト数を制限することで、悪意のあるリクエストに対するCC攻撃防御をシミュレートする簡単なPythonコード例です。

パイソン

インポート 時間
# IPアドレスごとのリクエスト時間とリクエスト数を格納
IP_リクエスト = {}
# 最大許容リクエスト数
MAX_REQUESTS = 10
# 時間窓（秒）
タイム・ウィンドウ = 60
デフ is_allowed(ip):
    現在時刻 = 時間.時間()
    もし ip で IP_リクエスト:
        リクエスト, 最終時刻 = IP_リクエスト[ip]
        # 時間枠内かチェック
        もし 現在時刻 - 最終時刻 < タイム・ウィンドウ:
            もし リクエスト >= MAX_REQUESTS:
                戻る 偽
            その他:
                IP_リクエスト[ip] = (リクエスト + 1, 現在時刻)
        その他:
            # タイムウィンドウが切れました。
            IP_リクエスト[ip] = (1, 現在時刻)
    その他:
        # 新しいIPアドレス、ロギング時間、リクエスト数
        IP_リクエスト[ip] = (1, 現在時刻)
    戻る 真

# アナログ処理要求
デフ ハンドルリクエスト(ip):
    もし is_allowed(ip):
        プリント(f "以下のデータ転送を許可する {ip} 要求の")
    その他:
        プリント(f 「不合格 {ip} CC攻撃かもしれない)

# 複数のリクエストをシミュレート
ips = ["192.168.1.1", "192.168.1.1", "192.168.1.1", "192.168.1.2"]
にとって ip で ips:
    ハンドルリクエスト(ip)

ほら

上記のコードは単純な例であり、実際のDDoS攻撃やCC攻撃の防御には、より高度な技術や機器が必要となる。

IV.DDoS攻撃防御コードの簡単なシミュレーション（ポート速度制限に基づく）

DDoS攻撃は、多くの場合、大量のパケットによってサーバーの帯域幅とリソースを消費する。以下のコードは、DDoS攻撃を防御するためのポートベースの速度制限メカニズムをシミュレートしている。

インポート 時間

# ポートごとのトラフィック統計と時間を保存
ポート・トラフィック = {}
# 最大許容トラフィック（バイト/秒）
MAX_TRAFFIC = 1024 * 1024  # 1MB/s
# 時間窓（秒）
タイム・ウィンドウ = 1

デフ is_port_allowed(ポート, トラフィック):
    現在時刻 = 時間.時間()
    もし ポート で ポート・トラフィック:
        prev_traffic, 最終時刻 = ポート・トラフィック[ポート]
        # 時間枠内かチェック
        もし 現在時刻 - 最終時刻 < タイム・ウィンドウ:
            ニュー・トラフィック = prev_traffic + トラフィック
            もし ニュー・トラフィック >= MAX_TRAFFIC:
                戻る 偽
            その他:
                ポート・トラフィック[ポート] = (ニュー・トラフィック, 現在時刻)
        その他:
            # 時間ウィンドウが切れました、トラフィック統計をリセットします。
            ポート・トラフィック[ポート] = (トラフィック, 現在時刻)
    その他:
        # 新しいポートでトラフィックと時間を記録
        ポート・トラフィック[ポート] = (トラフィック, 現在時刻)
    戻る 真

# ネットワークパケットのアナログ処理
デフ ハンドル・パケット(ポート, パケットサイズ):
    もし is_port_allowed(ポート, パケットサイズ):
        プリント(f "許可されたポート {ポート} パケット、サイズ：0 {パケットサイズ} バイト")
    その他:
        プリント(f "ポート拒否 {ポート} パケット、おそらくDDoS攻撃だ。)

# アナログ・マルチパケット
パケット = [(80, 1024), (80, 2048), (443, 512)]
にとって ポート, サイズ で パケット:
    ハンドル・パケット(ポート, サイズ)

V. Redisによる分散防御

実際のシナリオでは、大規模トラフィックやマルチサーバー環境に対応するため、Redisを使用してIPやポートの状態情報を保存し、分散攻撃防御を実現することができる。

パイソン

インポート 時間
インポート レディス

# Redisへの接続
r = レディス.レディス(ホスト=ローカルホスト, ポート=6379, デブ=0)

# 最大許容リクエスト数
MAX_REQUESTS = 10
# 時間窓（秒）
タイム・ウィンドウ = 60

デフ is_allowed_redis(ip):
    現在時刻 = イント(時間.時間())
    キー = f "cc.{ip}"
    パイプ = r.パイプライン()
    パイプ.ズレレンジバイスコア(キー, 0, 現在時刻 - タイム・ウィンドウ)
    パイプ.ザッド(キー, {現在時刻: 現在時刻})
    パイプ.Zカード(キー)
    _, _, リクエスト = パイプ.実行する()
    もし リクエスト > MAX_REQUESTS:
        戻る 偽
    戻る 真

# アナログ処理要求
デフ ハンドル_リクエスト_レディス(ip):
    もし is_allowed_redis(ip):
        プリント(f "以下のデータ転送を許可する {ip} 要求の")
    その他:
        プリント(f 「不合格 {ip} リクエストはCC攻撃かもしれない。)

# 複数のリクエストをシミュレート
ips = ["192.168.1.1", "192.168.1.1", "192.168.1.1", "192.168.1.2"]
にとって ip で ips:
    ハンドル_リクエスト_レディス(ip)

これらのコード例は、防御メカニズムの基本的な実装に過ぎません。 DDoS攻撃やCC攻撃に対する実際の防御には、システムのセキュリティと安定性を確保するために、特殊なハードウェア・アプライアンス、クラウド・サービス、より洗練されたアルゴリズムの組み合わせが必要です。

コメントを残すコメントをキャンセル

支払条件

ファームズ

サービス＆ソリューション

お問い合わせ

ニュースレターに参加する

ソーシャルメディア

DDoS攻撃とcc攻撃の原理と一般的な防御方法（例）

コメントを残す コメントをキャンセル