DDoS攻撃とは？Azureに装備されている防御ツールもご紹介

公開日：2022年1月31日最終更新日: 2022年1月31日

防御が難しいDDoS攻撃

DDoS攻撃はDoS攻撃（Denial of Service attack）の発展系で、正式名称通りWEBサービスやサーバーに対してアクセス負荷をかけて攻撃を行い、サービスを停止に追い込むことを指します。

DoS攻撃は単独の攻撃元から負荷をかける攻撃であるのに対して、DDoS攻撃はマルウェアによる乗っ取りなどで踏み台にされた複数の攻撃元PCやIoT機器、サーバーから対象のWEBサービスやサーバーに対して負荷をかけます。

DoS攻撃は悪意のある攻撃元をセキュリティ機能でブロックすれば設定以後は同じ攻撃元からの攻撃は防げます。しかし、DDoS攻撃の場合、攻撃元が任意の無自覚な攻撃元PCやIoT機器、サーバーであるため、防御が難しいという特徴があります。

また、単純に攻撃元が増えるため、負荷がDoS攻撃の比較にならないほど増えるのに加え、サービスにアクセスするだけの攻撃では一般の利用アクセスと見分けがつかず、対処が難しいという点もあります。

Azure標準装備のDDoS対策

Azureにはクラウドサービスとして標準のDDoS対策が実装されており、Azure DDoS Protection Basicと呼ばれます。基本的な保護機能は、追加費用なしでデフォルトでAzureに統合されています。

グローバルに展開されたAzureネットワークの規模と容量により、常時トラフィック監視とリアルタイムのミティゲーション（影響緩和）を通じて、一般的なネットワーク層への攻撃に対する防御を提供します。

後述するDDoS Protection Standardとの違いは、DDoS保護ポリシーがAzureインフラストラクチャの全体を保護するものとして規定されており、アラート機能やユーザーごとにカスタマイズされたポリシーは提供されないという点があります。

Azure DDoS Protection Standardとは

Azure DDoS Protection Standardでは前述したBasicに拡張的なDDoS対策機能が提供されます。仮想ネットワーク内の特定のAzureリソースの保護に役立つように自動的に調整され、新規または既存の仮想ネットワークで保護機能を簡単に有効にすることができます。

アプリケーションやリソースを変更する必要はありません。Basicサービスと比較して、ロギング、アラート、テレメトリーなど、有効にできる機能の利点があります。

具体的には、DDoS攻撃が発生した際にDDoS Protectionで使用される任意のAzure Monitorメトリックについて、アラートを構成することができます。また、ログを Splunk（Azure Event Hubs）、Azure Monitor ログ、Azure Storage と統合し、Azure Monitor 診断インターフェースを介して高度な分析を行うことも可能です。

その他、DDoS Protection Standardでは、DDoS が有効になっている仮想ネットワーク内で、保護されたリソースのパブリック IP ごとに、3つの自動調整された軽減ポリシー（TCP SYN、TCP、UDP）を適用します。ポリシーのしきい値は、メトリック ［Inbound packets to trigger DDoS mitigation］（DDoS 軽減をトリガーする着信パケット数）を選択することで確認できます。

ポリシーのしきい値は、機械学習ベースのネットワークトラフィック プロファイルを使用して自動的に構成されます。 DDoS の軽減は、ポリシーのしきい値を超過した場合にのみ、攻撃を受けているIPアドレスに対して行われます。

参考：Azure DDoS Protection Standard の概要
Azure DDoS Protection – 回復性の高いソリューションの設計