トロイの木馬は、ターゲットとされたシステムに対して分散サービス拒否(DDoS)攻撃を開始するためによく使用されますが、DDoS攻撃とは何ですか?
最も基本的なレベルでは、DDoS(Distributed Denial of Service)攻撃は、ターゲットシステムからの応答が遅くなるか停止するように、ターゲットシステムをデータで圧倒します。必要な量のトラフィックを作成するために、ゾンビコンピュータまたはボットコンピュータのネットワークが最も頻繁に使用されます。
DDoS、ゾンビ、ボットネット
ゾンビやボットネットは攻撃者によって侵害されたコンピュータで、一般的にはトロイの木馬を使用して、これらの侵害されたシステムを遠隔制御することができます。集合的に、これらのシステムは、DDoS攻撃を生成するのに必要な高いトラフィックフローを生成するように操作されます。
これらのボットネットの使用は、しばしばオークションされ、攻撃者の間で取引されるため、侵害されたシステムは複数の犯罪者のコントロール下にある可能性があります。攻撃者の中には、ボットネットをスパムリレーとして使用するもの、悪意のあるコードのダウンロードサイトとして動作するもの、フィッシング詐欺をホストするもの、前述のDDoS攻撃に対するものなどがあります。
DDoS攻撃の仕組み
分散サービス拒否攻撃を容易にするためにいくつかの手法を使用できます。より一般的なのは、HTTP GETリクエストとSYNフラッドです。 HTTP GET攻撃の最も有名な例の1つは、SCO.comのWebサイトをターゲットとしたMyDoomワームからのものでした。 GET攻撃は、その名前が示すように機能します。特定のページ(通常はホームページ)に対する要求をターゲットサーバーに送信します。 MyDoomワームの場合、感染した各システムから毎秒64件のリクエストが送信されました。何万台ものコンピュータがMyDoomに感染していると推定されたこの攻撃は、SCO.comに圧倒され、数日間オフラインでノックしました。
SYN洪水は基本的に中断された握手です。インターネット通信は3方向ハンドシェイクを使用します。開始クライアントはSYNで開始し、サーバはSYN-ACKで応答し、クライアントはACKで応答すると想定されます。攻撃者はスプーフィングされたIPアドレスを使用してSYNを送信します。その結果、SYN-ACKが要求されない(しばしば存在しない)アドレスに送信されます。次に、サーバーは、ACKレスポンスが無駄になるのを待ちます。これらの中断されたSYNパケットが大量にターゲットに送信されると、サーバリソースが使い尽くされ、サーバはSYN Flood DDoSになります。
UDPフラグメント攻撃、ICMPフラッド、Ping of Deathなど、いくつかのタイプのDDoS攻撃も開始できます。
