SYN フラッド攻撃とは？

企業は、ますます増大する破壊的な DDoS 攻撃の脅威に直面しています。このようなデジタル障害を仕掛けるのは非常に簡単で、しかも壊滅的な影響を及ぼす可能性があり、大きな損害をもたらすダウンタイムや生産性の低下、多大な経済的損失につながることがよくあります。 

これらの脅威の中で、SYN フラッド攻撃は特に大きなリスクとして注目されています。2023年には、DDoS 攻撃の中で2番目に多い攻撃タイプとなり、全インシデントの13.89%を占めました。唯一 SYN フラッド攻撃よりも多かった UDP フラッド攻撃は、全体の54.99%を占めていました。

以下では、SYN フラッド攻撃の仕組みや形態に加え、このような破壊的なオンライン攻撃に対する防御を強化する方法をご紹介します。

SYN フラッド攻撃の仕組み

SYN フラッド攻撃は、攻撃者が SYN (Synchronize) リクエストを継続的に送信して標的のシステムを過負荷の状態にするサービス拒否攻撃の一種です。SYN フラッド攻撃の主な目的は、標的とするサーバーのリソースを使い果たし、正当なトラフィックに応答できないようにすることです。この悪意のある戦略は、インターネット通信の基本的な側面である TCP 3 ウェイハンドシェイクを悪用します。これは、TCP/IP ネットワークで接続を確立するために不可欠です。

攻撃者はこの重要なプロトコルを操作することでシステムを事実上麻痺させ、正常な運用を妨害し、安定したネットワーク通信が欠かせない企業に重大な損害を与える可能性があります。SYN フラッド攻撃の仕組みを理解することは、これらの蔓延する脅威に対する強力な防御戦略を構築するための第一歩です。

TCP ハンドシェイクの基本

SYN フラッド攻撃を効果的に識別して理解するには、一般的な TCP ハンドシェイクの基礎を理解することが不可欠です。このプロセスを理解することで、何かがおかしいときに気づき、進行中の SYN フラッド攻撃に警戒できるようになります。 

通常の TCP ハンドシェイクは、以下の3つの主要なステップで構成されます。

1. SYN (同期) : デバイスは、接続を要求する SYN パケットを目的のサーバーに送信して通信を開始します。

2. SYN-ACK (同期確認) : サーバーは SYN-ACK パケットで応答し、通信の準備ができていることを確認します。このパケットには、サーバー独自の同期情報も含まれます。

3. ACK (確認) : デバイスは最終的な ACK パケットをサーバーに送信し、ハンドシェイクを完了します。このステップにより接続が確立され、ビジネスシステムと顧客または社員の間で実際のデータ交換を開始できるようになります。

ネットワーク通信の通常のフローを理解することで、この基本的なプロトコルを標的とする悪意のある攻撃からシステムを保護する体制を整えることができます。

SYN フラッド攻撃の形態

SYN フラッド攻撃は、大量の SYN パケットで標的のサーバーを圧倒し、TCP 3 ウェイハンドシェイクを完了せずに接続リクエストを開始します。攻撃者は、サーバーの SYN-ACK を無視、または偽装した IP アドレスを使用するなどして複数の SYN パケットを送信し、最終的な ACK がサーバーに届かないようにします。その結果、サーバーの接続テーブルが不完全なリクエストで満たされ、リソースが消費されて正当な接続が妨げられます。このように過負荷の状態に陥ると、処理が完了していない不完全な接続にサーバーが対処するのが困難になり、正当なユーザーがシステムにアクセスできなくなります。

SYN フラッド攻撃には以下の4つの方法があります。

1. 直接攻撃

名前が示すように、攻撃者はビジネスシステムを直接標的に定め、大量の SYN パケットをサーバーに送りつけてネットワークの接続テーブルを詰まらせます。このような攻撃の直接的な性質は重大なリスクをもたらし、十分な備えがないシステムをすぐに圧倒します。

2. スプーフィング攻撃

この方法では、攻撃者は SYN パケットの送信元 IP アドレスを改ざんし、リクエストが実際の攻撃者からではなく、さまざまな場所から送信されたように見せかけます。このような改ざんによってソースの特定が複雑になり、セキュリティチームが多数の潜在的な送信元を精査する必要が生じます。攻撃は固定された場所から発生しているわけではないため、単一のソースをブロックしてもトラフィックフローを止める効果はほとんどありません。

3. ボットネット攻撃

ボットネット攻撃では、インターネットに接続され、侵害された複数のデバイスが、ネットワークに SYN リクエストを同時に送信するよう指示されます。多様なソースからの膨大な量のトラフィックは、最も堅牢なシステムでさえも圧倒する可能性があります。このような過負荷の状態では、利用可能なリソースの大部分が消費され、社員や顧客からの正当な接続試行に対応するネットワークの能力が大幅に低下します。

4. 組織的な DDoS 攻撃

このタイプの DDoS 攻撃では、複数の攻撃者が協力して妨害を最大化します。これらの攻撃は、さまざまなソースからのトラフィックを統合することで影響を拡大し、ネットワークに対する正当なリクエストと悪意のあるリクエストの区別を複雑にします。

SYN フラッド攻撃を軽減する5つの方法

SYN フラッド攻撃は、正当なユーザーによる接続の確立をブロックすることで、ネットワークサービスに深刻な支障を引き起こすことができます。これらの攻撃による被害を最小限に抑えるには、迅速な行動が重要です。企業が実践できる戦略の一部をご紹介します。

1. SYN Cookie

SYN リクエストを受信すると、サーバーは一意のコードまたは Cookie を生成し、それを SYN-ACK レスポンスに含めます。クライアントは、接続の正当性を検証するために、後続の ACK でこのコードを返す必要があります。SYN Cookie を実装する利点は、Cookie が検証されるまで、サーバーが接続にリソースを割り当てないことです。このプロセスは、正規のユーザーと攻撃者を区別し、正当な接続のためにリソースを確保するのに役立ちます。

2. ロードバランシング

ネットワーク層またはトランスポート層のロードバランサーは、トラフィックがアプリケーション層に到達する前に負荷を分散させることで影響を軽減し、対処しやすくします。

3. レート制限

最大接続レートを設定することで、単一のソースがシステムに過負荷をかけるのを防ぐことが可能になります。この方法によって、潜在的な攻撃者からの過剰なトラフィックをブロックできます。1つの IP アドレスからのリクエストを1分あたり60件に制限するなど、ビジネス固有のニーズに応じてレート制限を設定することによって、適切にコントロールできるようになります。

4. バックログを増やす

サーバーのバックログ容量を拡大することで、より多くの SYN リクエストがタイムアウトせずにキューに並ぶことができるようになり、リソースの使用が最適化され、受信する接続リクエストの全体的な管理が改善されます。

5. コンテンツ配信ネットワーク

コンテンツ配信ネットワーク (CDN) は、悪意のあるトラフィックを吸収してフィルタリングし、複数のサーバーに負荷を分散して常時オンの DDoS 対策を提供することで、SYN フラッド攻撃を軽減するのに役立ちます。これにより、オリジンインフラストラクチャのリソースが確保され、容量が限られている組織でも可用性を維持できます。CDN はバッファとして機能し、オリジンサーバーから攻撃トラフィックをオフロードします。

Fastly のレート制限およびフィルタリング機能は、こうした種類の攻撃を大幅に減らし、リソースへの負荷を軽減します。あるお客様はロードバランサーの CPU 消費量が90%に達しましたが、Fastly を活用することで、リクエストの処理が可能なレベルまで CPU 消費量を下げることができました。

Fastly が SYN フラッド攻撃に役立つ理由

SYN フラッド攻撃はビジネスに重大な脅威をもたらし、サービスの中断や大きな損害をもたらすダウンタイムにつながる可能性があります。ネットワークを保護するには、強力な予防戦略が必要です。SYN Cookie やレート制限などの手法は効果的ですが、Fastly をはじめとするトップクラスのエッジクラウドプラットフォームと提携させることで、DDoS 攻撃に対する包括的な保護が得られます。

Fastly のエッジ クラウドプラットフォームは、ビジネスを保護する強力なソリューションを提供します。

• スマートなトラフィック分散 : Fastly は受信リクエストを複数のエッジロケーションに分散します。このアプローチにより、大規模な攻撃がサーバーに到達する前にその影響を吸収し、ネットワークの円滑な稼働を維持できます。

• インテリジェントな SYN プロキシ : Fastly プラットフォームが TCP ハンドシェイクを完了します。完全に確立された正当な接続のみがオリジンサーバーに到達するため、SYN​​ フラッド攻撃に対する強固な障壁を形成できます。

• 保護の強化 : Fastly はエッジでトラフィックを処理することで、攻撃者とオリジンサーバーの間に保護バリアを形成します。

• パフォーマンスの向上 : エッジロケーション間に負荷を分散させることによってセキュリティが強化されるだけでなく、ネットワーク全体のパフォーマンスも向上します。

• 可視性と分析 : 包括的なログと分析により、トラフィックパターンや潜在的なセキュリティの脅威に関するインサイトが得られます。

• スケーラビリティ : 正当なユーザーによるものでも、攻撃の試みによるものでも、Fastly のグローバルネットワークは迅速にスケールして突然のトラフィックスパイクにも対応できます。

• カスタマイズ可能なルール : Fastly では、カスタムルールを実装して特定の脅威やトラフィックパターンに対処できます。

SYN フラッド攻撃を防ぎ、サーバーの負荷を軽減してユーザーエクスペリエンスを向上させる Fastly ソリューションの詳細をご覧ください。