3.8Tbps巨大DDoS攻撃を回避したCloudflare、世界記録を更新

Cloudflareは10月2日(米国時間)、「How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack」において、世界記録となる3.8Tbps(ピーク値)の分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を回避したと発表した。この攻撃は9月初旬から1カ月間にわたり観測されたL3/4(第3層および第4層)を標的とする攻撃キャンペーンの中で記録されたという。

○攻撃の概要

Cloudflareによると、この攻撃は前例のない規模と頻度で実施されたという。秒間ビットレートおよび秒間パケットレートが巨大なことから、保護されていないインターネット上のデバイスはダウンする可能性があると警鐘を鳴らしている。

攻撃キャンペーンの主な標的は金融、インターネット、通信業界とされる。プロトコルはUDP(User Datagram Protocol)の固定ポートが使用され、大部分がベトナム、ロシア、ブラジル、スペイン、米国から送信された。

パケットレートの上位を占めた攻撃デバイスは、MikroTik(ラトビアの通信機器企業)のデバイス、DVR、Webサーバなど多岐にわたる。ビットレートの上位を占めた攻撃デバイスは、脆弱性「CVE-2024-3080」を悪用して侵害されたASUSルータとされる。

○Cloudflareの防御策

一般的に高パケットレートの攻撃を回避するには、できるだけCPU負荷の小さいアルゴリズムにて不正なパケットを検出し、これを破棄する。処理速度が不足する場合は、費用をかけて高速なCPUを多数用意することになる。高ビットレートの攻撃を回避するには、より大きな帯域幅を確保するか、ネットワークの上流で不正なパケットを破棄する必要がある。

Cloudflareは高パケットレートかつ高ビットレートの攻撃を現実的な手法で解決するために、上記の一般的な対策に加えさまざまな技術を取り入れている。今回は具体的な防御策として次の手法を取り入れていることが明らかにされた。

ネットワークをエニーキャストで構築する。Cloudflareは地域ごとに同一IPのサーバをエニーキャストで構成しており、送信元から物理的に近いサーバに自動でパケットが分散される
サーバリソースは地域の人口比で決定する。人口の多い地域ではより多くの帯域幅、CPUリソースを提供する。これは攻撃元の侵害されたデバイス数が人口と比例関係にあることが判明しているため。Cloudflareのようにエニーキャストでネットワークを構成している場合、地域の攻撃数は人口と比例する
拡張BPF(eBPF: extended Berkeley Packet Filter)を活用するXDP(eXpress Data Path)を使用して不正なパケットを効率的に破棄する

DDoS攻撃は侵害されたデバイスの性能向上に伴い高パケットレートかつ高ビットレート化する傾向にある。また、使用されるボットネットも世界中に分散しており、ユニキャストネットワークで対処することは困難とされる。そのため、インターネット上にサービスを提供する企業には負荷分散型の対策が求められるが、世界中のデータセンターにサーバを配置して対処するには多額の費用がかかる。

そこで、コンテンツデリバリーネットワーク(CDN: Content Delivery Network)が使用される。コンテンツデリバリーネットワークはAkamai、Amazon、Cloudflareなど、さまざまな企業が提供している。