Cloudflareが語るDDoSトレンド(2021Q2)

一昔前まではDDoS攻撃を語るのはセキュリティ企業の仕事だったが、今となっては完全にCDNにお株を奪われた気がする。そりゃそうだ。企業はWebサーバを自分の会社のファイアウォールの内側になんか置かない。それどころか、ひとつひとつのリクエストを自分のサーバで処理しないケースまで増えている。

というわけで、世界中のHTTPリクエストを捌いているであろう企業のひとつであるCloudflareのレポートを読んでみる。

https://blog.cloudflare.com/ddos-attack-trends-for-2021-q2/

Over 11% of our surveyed customers who were targeted by a DDoS attack reported receiving a threat or ransom letter threatening in advance, in the first six months of this year. Emergency onboarding of customers under an active DDoS attack increased by 41.8% in 2021 H1 compared to 2020 H2.

DDoS攻撃を受けた顧客の11%は事前にransom letter（身代金の要求）を受けていたという。onboardingは新入社員などが業務を始めるにあたって身につける研修などを指す言葉だが、いざ攻撃を受けて、緊急でonboardingをするという顧客が41.8%も増えた。

emotetのようにメールでマルウェアが送られてローカルのファイルを人質とする攻撃から、ローカルをどれだけ守っても防ぎきれないインターネットとの接続点を攻撃する手法にシフトしているということだろう。

Emerging threats included amplification DDoS attacks that abused the Quote of the Day (QOTD) protocol which increased by 123% QoQ. Additionally, as the adoption of QUIC protocol continues to increase, so do attacks over QUIC — registering a whopping 109% QoQ surge in 2021 Q2.

DDoS攻撃にはTCP/IPのようなセッション管理機能のあるプロトコルではなく、送信元がIPアドレスを偽装してもレスポンスを返すUDPが使われることが多いが、その中でもQOTD(Quote of the Day)という古いプロトコルが増加しているという。またQUICの攻撃も増えている。

このQOTD、IANAにも登録されているプロトコルで、リクエストを投げると適当な文字列（まさにQuote of the day）を返す試験に使われるそうだが、少なくとも筆者は使われてるのを見たことがない。Shodanで調べてみると、たしかにudp/17を公開しているサーバは実在するようだが、当初の目的で使われているのだろうか。いずれにしても、UDPを使っているDNSやNTPなどは、さんざん攻撃の踏み台にされ対策が施され、こういったマイナーなプロトコルが使われるようになったのだろう。

Short burst attacks may attempt to cause damage without being detected by DDoS detection systems. DDoS services that rely on manual analysis and mitigation may prove to be useless against these types of attacks because they are over before the analyst even identifies the attack traffic.

レポートでは攻撃されている時間の分布も公開している。攻撃の大半が1時間未満に終了しており、仮にDDoS検出ツールを用意しても検知できず、アナリストが解析する前に攻撃が終わる。

This highlights the need for an always on, automated DDoS protection approach. DDoS protection services that rely on manual re-routing, analysis and mitigation may prove to be useless against these types of attacks because they are over before the analyst can even identify the attack traffic.

そこで、攻撃されてからDDoS保護が働くのではなく常にオンになっている自動化されたDDoS対策が必要というわけだ。手動でルーティングを変えたり、解析するのでは間に合わない。

といった感じにCloudflareのセールストークに誘導される。ほかにも、攻撃者はIPアドレスを偽装するが、Cloudflareは攻撃を検知したデータセンタを置いてる国で判断するため、IPアドレスが偽装されても、どこからの攻撃がわかる。冒頭にも書いたように、CDNを上回るDDoS対策は難しいのではと思われる事実が並ぶ。