VPN は DDoS から保護できますか?

パーソナル VPN は、実際の IP が公開されていない場合に、 you を DDoSed から保護します。運営しているサービスは保護されません。サービスを保護するには、CDN またはスクラビングサービスが必要です。「スワッティング」スタイルの攻撃を懸念するゲーマーにとって、VPN プロバイダーの IP の背後に隠れるのは正しいパターンです。

DDoS 攻撃は通常どれくらい続きますか?

数分から数日。 2025 年の攻撃時間の中央値は 10 分未満であり、破壊するには十分な長さですが、安価に開始するには十分短いです。持続的な攻撃（数時間から数日）は通常、強奪キャンペーン、地政学的な作戦、または異常に持続的な競争など、より深い資金を持った動機のある攻撃者を意味します。

DoS と DDoS の違いは何ですか?

DoS (サービス拒否) は 1 つのソースから発生します。 DDoS は多くのものから発生します。単一ソース攻撃は、IP フィルターによって簡単にブロックできます。分散攻撃には帯域幅吸収防御が必要です。最近のほとんどすべてのサービス拒否攻撃は DDoS です。従来の DoS 用語はほとんどが歴史的なものです。

DDoS攻撃は違法ですか?

ほぼすべての管轄区域で可能です。米国のコンピュータ詐欺および悪用法、英国のコンピュータ不正使用法、および EU の同様の法律では、不正なサービス中断は刑事犯罪とされています。ストレッサーサービスに対する国際協力により、多くの国で逮捕者が発生しています。それにもかかわらず、帰属を特定するのは難しく、多くの攻撃者は追求しない管轄区域から活動しています。

ISP はなぜ、なりすましトラフィックを送信元でフィルタリングしないのでしょうか?

BCP38 / イングレスフィルタリングを導入することで可能であり、ほとんどの場合、新しいネットワークに対しても同様のことが可能です。従来のネットワークや一部の小規模な ISP では、依然としてスプーフィングされた送信元アドレスがネットワークから流出することを許可しており、これにより増幅攻撃が可能になります。ルーティングセキュリティのための相互合意規範 (MANRS) イニシアチブは導入を推進していますが、寛容なネットワークのロングテールは依然として残っています。

DDoS 攻撃の説明: フラッドがサイトを破壊する仕組みと、それを止めるのが難しい理由

Q: ISP はなぜ、なりすましトラフィックを送信元でフィルタリングしないのでしょうか?

BCP38 / イングレス フィルタリングを導入することで可能であり、ほとんどの場合、新しいネットワークに対しても同様のことが可能です。従来のネットワークや一部の小規模な ISP では、依然としてスプーフィングされた送信元アドレスがネットワークから流出することを許可しており、これにより増幅攻撃が可能になります。ルーティング セキュリティのための相互合意規範 (MANRS) イニシアチブは導入を推進していますが、寛容なネットワークのロングテールは依然として残っています。

分散型サービス拒否攻撃は、一度に多くのソースからのトラフィックでサービスを圧倒し、サービスを到達不能にしようとします。経済状況は非常に非対称です。ストレッサーのレンタルサービスから数千ドルを借りるだけで、運営に数百万ドルかかるサイトがダウンする可能性があります。それらに対する防御は、ネットワークエンジニアリングの最も活発な分野の 1 つです。

記事全文は以下に英語で記載されています。

A 分散型サービス拒否 (DDoS) 攻撃 は、処理できる量を超えるトラフィックをターゲットにフラッディングし、帯域幅、CPU、またはアプリケーションの容量を使い果たします。トラフィックは多くの送信元 (多くの場合、ボットネットとして機能する数万台の侵害されたデバイス、または誤って構成されたサーバーによる増幅) から送信されるため、宛先でのフィルタリングは機能しません。攻撃は上流で吸収またはスクラブされる必要があります。 3/4) 攻撃 — ネットワークに生のパケットを大量に送り込み、帯域幅を飽和させます。 UDP フラッド、ICMP フラッド、SYN フラッド。多くの場合、増幅ベースです。設定を誤ったサーバーへの小さなリクエストにより、スプーフィングされたソース IP (被害者) への大きな応答が生成されます。

プロトコル攻撃 - プロトコル自体の弱点を悪用します。 Slowloris は、数千の TCP 接続を完了せずに開いたままにします。 SSL 再ネゴシエーション攻撃により、高価な暗号化操作が強制されます。

アプリケーション層 (レイヤー 7) 攻撃 — 正規のユーザートラフィックのように見えますが、アプリケーションリソースを使い果たすように設計されています。 HTTP フラッド、高価な検索クエリ、キャッシュを見逃す動的エンドポイントへの繰り返しのリクエスト。

大量の攻撃 (Tbps クラス) が最も大きなニュースになりますが、実際のユーザーに影響を与えずにフィルタリングするのが難しいため、アプリケーション層の攻撃のほうが被害が大きいことがよくあります。

増幅: 小さなフラッドが巨大化する

最大規模の DDoS 攻撃が依存します。 amplification: 攻撃者は、スプーフィングされた送信元 IP (被害者のアドレス) を含む小さな UDP リクエストをサーバーに送信し、サーバーはより大きな応答を返します。被害者は巨大な応答を受け取りますが、元の要求がどこから来たのかわかりません。増幅率:

DNS — EDNS0 および DNSSEC 応答で 50 ～ 100 倍の増幅
NTP monlist — 最大 500 倍 (パッチが適用されてからかなり経ちますが、レガシーサーバーは依然として使用されています)存在します)
memcached — 歴史的には 2018 年には最大 50,000 倍でした。現在ほとんどパッチが適用されている
CLDAP — 約50×
SSDP/UPnP — 約30×

公表されている最大規模のDDoS攻撃はすべてボットネットと組み合わせた増幅に依存しており、ピークは3を超える大さじ。 2025 年最大のものは 5 Tbps を突破しました。

ボットネット: トラフィックの発信元

ほとんどの大規模な攻撃の背後にある: 侵害されたデバイスのボットネット。 IoT デバイス (セキュリティカメラ、ルーター、スマート TV、DVR) は、デフォルトの認証情報が付属して出荷され、セキュリティアップデートをほとんど受信しないため、ターゲットになりやすいです。 Mirai ボットネット (2016 年) は、数十万台の IoT デバイスを侵害し、有名な Krebs 攻撃や OVH 攻撃に使用されました。 Mirai のソースコードは公開され、数十の派生版が今も動作しています。

最新のボットネットには、侵害されたクラウドサーバー、盗まれたクレジットカードで入手した仮想マシン、住居用プロキシ (ボットネットを事実上レンタルしているモバイル IP サービス) も含まれています。

Sトレサー/ブーターサービス

月額 50 ドル未満で、誰でも攻撃キャパシティーをレンタルできます。「ブーター」または「ストレッサー」サービス。マーケティングでは、合法的なストレステストを目的としていると主張しています。実際、顧客の大部分は他人のサイトを攻撃します。いくつかの大きなストレッサーは国際法執行機関によって取り除かれましたが、数か月以内に新しいストレッサーがそれらに取って代わります。供給が安すぎ、需要が安定しすぎて消えません。

DDoS 保護の仕組み

マルチ Tbps 攻撃から単一サイトを防御することは不可能です。通常のサイトにはこれほどの帯域幅はありません。防御策は、はるかに多くの容量を持つプロバイダーのサイトの前に保護を配置することです:

BGP 再ルーティング / blackholing — ターゲット IP へのルートを撤回し、すべてのトラフィックをドロップします。最後の手段として役立ちますが、被害者との接続を完全に切断します。
クラビングセンター — Cloudflare、Akamai、AWS Shield、Imperva などが、受信トラフィックをフィルタリングする大規模な施設を維持しています。正当なトラフィックは発信元に転送されます。攻撃トラフィックはドロップされます。
Rレート制限 — CDN エッジで、アプリケーション層のフラッドを防ぐために IP ごとのリクエストレートに制限を設けます。
JavaScript チャレンジ — 実際のブラウザーでは目に見えないが、ほとんどのボットが完了する簡単な計算チャレンジを提示します。できません。
CAPTCHA フォールバック — 疑わしいトラフィックについては、人間による検証を求めます。

大手 CDN/WAF プロバイダーは、実際に見られた基本的にあらゆる規模の攻撃を吸収できます — Cloudflare のネットワーク容量は、2026 年の時点で 300 Tbps を超えています。

小規模サイトのオペレーターとしてできること

SDDoS 保護機能を備えた CDN の背後にある — Cloudflare の無料利用枠は、小規模サイトの基本的な保護をカバーします。有料レベルと他のプロバイダー (Akamai、Fastly) は、より多くの処理を行います。
発信元の IP を非表示にする — CDN の IP 範囲からのトラフィックのみを許可します。直接接続を拒否します。
合理的なレート制限ポリシーを使用します — 多くの無料 CDN 層では、基本的なレート制限が提供されます。
攻撃中は忍耐強くありましょう — 防御が開始され、攻撃者は資金がなくなるか退屈します。

軍拡競争続く

2024 ～ 2026 年には、プロトコルの弱点を悪用した HTTP/2「ラピッドリセット」攻撃、人間の行動を模倣するために AI によって生成されたレイヤー 7 攻撃、ハイジャックされたクラウド VM を介して配信されるハイパーボリュームレイヤー 3 攻撃といった、新しい攻撃カテゴリが見られました。防御側は、よりスマートな動作フィルタリング、ハードウェアアクセラレーションによる軽減策、プロバイダー間の緊密な連携によって対応してきました。ネットの傾向: 小規模な攻撃はかつてないほど低コストですが、十分に防御されたサイトはこれまでよりも早く回復します。

よくある質問

VPN は DDoS から保護できますか?: パーソナル VPN は、実際の IP が公開されていない場合に、<em>you</em> を DDoSed から保護します。運営しているサービスは保護されません。サービスを保護するには、CDN またはスクラビングサービスが必要です。「スワッティング」スタイルの攻撃を懸念するゲーマーにとって、VPN プロバイダーの IP の背後に隠れるのは正しいパターンです。
DDoS 攻撃は通常どれくらい続きますか?: 数分から数日。 2025 年の攻撃時間の中央値は 10 分未満であり、破壊するには十分な長さですが、安価に開始するには十分短いです。持続的な攻撃（数時間から数日）は通常、強奪キャンペーン、地政学的な作戦、または異常に持続的な競争など、より深い資金を持った動機のある攻撃者を意味します。
DoS と DDoS の違いは何ですか?: DoS (サービス拒否) は 1 つのソースから発生します。 DDoS は多くのものから発生します。単一ソース攻撃は、IP フィルターによって簡単にブロックできます。分散攻撃には帯域幅吸収防御が必要です。最近のほとんどすべてのサービス拒否攻撃は DDoS です。従来の DoS 用語はほとんどが歴史的なものです。
DDoS攻撃は違法ですか?: ほぼすべての管轄区域で可能です。米国のコンピュータ詐欺および悪用法、英国のコンピュータ不正使用法、および EU の同様の法律では、不正なサービス中断は刑事犯罪とされています。ストレッサーサービスに対する国際協力により、多くの国で逮捕者が発生しています。それにもかかわらず、帰属を特定するのは難しく、多くの攻撃者は追求しない管轄区域から活動しています。
ISP はなぜ、なりすましトラフィックを送信元でフィルタリングしないのでしょうか?: BCP38 / イングレスフィルタリングを導入することで可能であり、ほとんどの場合、新しいネットワークに対しても同様のことが可能です。従来のネットワークや一部の小規模な ISP では、依然としてスプーフィングされた送信元アドレスがネットワークから流出することを許可しており、これにより増幅攻撃が可能になります。ルーティングセキュリティのための相互合意規範 (MANRS) イニシアチブは導入を推進していますが、寛容なネットワークのロングテールは依然として残っています。