DDoSテスト

チップの画像。

大規模サイバー攻撃に対するネットワーク防御体制を評価する

実際の分散型サービス拒否 (DDoS) 攻撃エミュレーションに対してネットワークをテストします。テストにより、DDoS緩和ソリューションの有効性、パケット損失、攻撃中のネットワークサービス品質など、重要な洞察が得られます。

DDoSテストの要点

エッセンシャル

宇宙の衛星

独自のラボでDDoS攻撃をエミュレートします。

ネットワーク上でDDoS攻撃テストをシミュレートするための3つのオプションについてご紹介します。オープンソース・ソフトウェアを使用した基本的な攻撃、プロフェッショナルなネットワーク・テスト・ツールを使用したシングルリンク攻撃、そして高速テスト機器を使用したマルチサイト攻撃を設定できます。

宇宙の衛星

記録的なDDoS攻撃に備えていますか?

毎秒3億9800万リクエストに達したRapid Reset DDoS攻撃の基本的なコンポーネントを探ります。

宇宙の衛星

DDoS緩和プロセス

組織全体のDDoS緩和戦略を、ツール、攻撃、シミュレーション、テスト管理の4つのステップで確立します。 

宇宙の衛星

金融分野とその先へ向けたDDoSテスト

絶えず変化するDDoS攻撃の配列に対するネットワークとデバイスのレジリエンスを確保するためのテスト手法をご覧ください。

宇宙の衛星

CENGNがDDoS防御を検証

テクノロジーコンソーシアムがキーサイトと提携し、ライブの分散型ネットワークでDDoS軽減システムをテストした方法をご覧ください。

DDoSテストとは何ですか?

概要

DDoSテストは、攻撃者が複数のソースからトラフィックでネットワークを圧倒し、正当なユーザーが利用できないようにすることを目的としたサイバー攻撃をシミュレートします。 

さまざまな速度で複数の種類のDDoS攻撃をエミュレートすることで、ネットワーク運用チームは、実際の攻撃者が悪用する前に、システムの回復力を評価し、潜在的な弱点を特定できます。定期的に実施することで、DDoSテストはインシデント対応計画の改善、ネットワークサービス品質の監視、および実際の攻撃中に重要なサービスがオンライン状態を維持することの確保にも役立ちます。

ネットワーク運用担当者が自社ネットワークへのDDoS攻撃をテストしている

DDoSテストの利点

利点

セキュリティおよび緩和ツールを検証する

企業や政府機関を標的としたDDoS攻撃は、規模、頻度、複雑さが増大し続けています。セキュリティツールが計画どおりに機能し、不正なフローを停止させ、正当なトラフィックを通過させることを確認してください。さまざまなDDoSシミュレーションに対してネットワークをテストすることで、攻撃に備え、防御を強化してください。

ハイブリッドネットワークを検証します。

ハイブリッドネットワーク向けDDoS緩和ソリューションを最適化します。大規模なネットワークインフラストラクチャのストレステストに使用される従来のハードウェアベースのネットワークトラフィックジェネレータを、仮想化ソリューションで強化します。これらのツールを組み合わせることで、オンプレミスおよびクラウドベースのネットワークインフラストラクチャをDDoS攻撃に対してテストできます。

パケット損失の防止

DDoS緩和ツールは、ネットワークの第一線の防御策です。しかし、時には過剰に効果を発揮し、正当なトラフィックまでブロックしてしまうことがあります。定期的なDDoSテストは、過剰なフィルタリング、リソース枯渇、ネットワーク輻輳、設定ミス、または誤検知によって引き起こされる正当なパケット損失の事例を明らかにするのに役立ちます。

Maintain quality of service

高性能なセキュリティツールは多くの帯域幅を必要とします。しかし、これらが監視されずに放置されると、パフォーマンスのボトルネックを生み出す可能性があります。そのため、DDoSテスト中にネットワークの主要なパフォーマンス指標を監視することが極めて重要です。そうしないと、攻撃中に広範囲にわたるサービス中断、生産性の低下、および収益損失のリスクを負うことになります。

検出と対応を改善します。

習うより慣れろ。管理された環境でDDoS攻撃をシミュレートすることで、サイバーセキュリティ担当者は攻撃下でネットワークがどのように応答するかを確認できます。定期的なDDoSテストは、インシデント対応プロセスの改善、緩和時間の短縮、誤検知の大幅な削減、およびサイバー攻撃への全体的な準備態勢の向上に役立ちます。

DDoSテストはどのように機能しますか?

手法

制御された環境でDDoS緩和ハードウェアとソフトウェアをテストすることで、ユーザーやアプリケーションを危険にさらすことなく、実際の攻撃に対してネットワークがどの程度準備されているかを理解できます。ソフトウェアベースのDDoSエミュレーションツールは、この種のテストに最も一般的な手段です。しかし、ハードウェアベースのネットワークトラフィックジェネレーターは、より大規模なネットワークをテストするための拡張性とスループットの向上を提供します。

テストは、オープンソースソフトウェアを使用した単純な攻撃から、高性能テストリグを使用した複雑なエミュレーションまで多岐にわたります。アプリケーション、レート、ボリューム、リフレクション、フラグメンテーション攻撃など、さまざまなDDoS技術に対してインフラストラクチャをテストすることで、ネットワークが多数の攻撃ベクトルに耐えられることを保証できます。

ネットワーク運用担当者が自社ネットワークへのDDoS攻撃をテストしている

DDoSテストツール

ツール

DDoSエミュレータ

DDoSエミュレータは、スタンドアロンの仮想テストベッドとして、または高性能ネットワークトラフィックジェネレータと連携して機能します。それ自体で、これらの強力なソフトウェアプラットフォームは、便利なアプリケーションおよび攻撃シミュレーションを提供します。コスト効率が高く、柔軟性のあるこれらのツールは、迅速に展開でき、グローバルネットワーク全体で拡張できます。スタンドアロン構成およびサービスとしてのソフトウェア構成で利用可能なDDoSエミュレーションソフトウェアは、展開の容易さと利便性を提供します。

ネットワークトラフィックジェネレーター

高性能ネットワークトラフィックジェネレータは、ネットワーク運用チームがエンタープライズ規模でセキュリティの回復力をテストすることを可能にします。800GEを超えるスループットでネットワークをテストできるこれらのテストアプライアンスは、データセンターインフラストラクチャを限界まで追い込むことができます。比類のないリアリズムとスケールを提供するネットワークトラフィックジェネレータは、攻撃中のネットワークパフォーマンス、信頼性、稼働時間を簡単に測定できるだけでなく、最も過酷なシナリオ下でのDDoS緩和ソリューションを実証することも可能にします。

DDoSテストセットアップ

テスト

ネットワーク運用担当者が自社ネットワークへのDDoS攻撃をテストしている

基本的な攻撃シミュレーション

オープンソースツールを使用すると、ネットワーク上で基本的なDDoSテストを実行し、セキュリティ態勢と緩和ソリューションを測定できます。留意してください。サイバー犯罪者は、これらの同じツールを使用して実際の攻撃を実行することがあるため、自己責任で使用してください。さらに、これらの攻撃は規模が限られているため、ネットワークの準備態勢について永続的な結論を導き出すのは困難です。 

リスクを許容できる場合、オープンソースツールを使用して、SYNフラッドなどの単純なDDoS攻撃をエミュレートできます。この攻撃は、大量のSYNパケットでサーバーを攻撃し、ターゲットを圧倒するものです。簡素化されたSYNフラッドテストは、1秒あたり約50,000パケットに制限されますが、これはネットワークが低容量攻撃にどのように耐えるかを確認する効果的な方法です。

ネットワーク運用担当者が自社ネットワークへのDDoS攻撃をテストしている

複雑な中密度テスト

専用のDDoSテストソフトウェアは、中小規模の組織向けにさまざまな実世界の攻撃シミュレーションを提供します。基本的なオープンソースツールよりも高度なDDoSエミュレータは、攻撃を作成するだけでなく、正当なネットワークトラフィックに偽装することもできます。これらのツールは、ソーシャルメディアトラフィック、ピアツーピア、ゲーム、エンタープライズビジネスアプリケーション、ビデオなど、さまざまなアプリケーションプロトコルをシミュレートできます。

DDoSエミュレーターの現実性が向上したことで、複数の攻撃タイプをエミュレートすることにより、ネットワークセキュリティ態勢のより全体的な状況を把握できます。例えば、Keysight BreakingPoint Virtual Editionは、36,000以上のセキュリティ攻撃、6,000以上の記録された攻撃、および100以上の一般的な回避技術を提供します。しかし、このような仮想専用ソリューションには、スケーラビリティという大きな欠点があります。10 GBを超えるネットワーク帯域幅を持つ組織には、大容量テストハードウェアを備えたハイブリッドセットアップが必要になります。

ネットワーク運用担当者が自社ネットワークへのDDoS攻撃をテストしている

大規模エミュレーション

エンタープライズグレードのDDoSテストには、ソフトウェアだけでは不十分です。インターネット規模でネットワークトラフィックプロファイルを生成できる高性能テストハードウェアとエミュレーションプラットフォームを組み合わせる必要があります。このようなハイブリッドセットアップは、ネットワークがあらゆる規模のDDoS攻撃に耐えることができることを確実にするのに役立ちます。

例えば、キーサイト BreakingPointソフトウェアとキーサイト APS-ONE-100ネットワークトラフィックジェネレータを使用すると、毎秒100,000のトランスポート層セキュリティ (TLS) 接続、320万のTLS同時接続、150 Gbpsの暗号化スループットでDDoS攻撃をエミュレートできます。しかし、ネットワーク防御がどれほど強力であっても、DDoS攻撃はユーザーとインフラストラクチャに影響を与えます。このような現実的で大規模なテスト設定は、サーバーが耐えられる最大しきい値と、稼働時間を維持するための最小限のネットワークパフォーマンスを特定するのにも役立ちます。

DDoSテストソリューションにおける注目点

考慮事項

適用範囲

複数の攻撃ベクトル

DDoS攻撃は、基本的なSYNフラッドやユーザーデータグラムプロトコル断片化攻撃から、高度なリフレクション攻撃やボットネット攻撃まで多岐にわたります。サイバー犯罪者は、ネットワークをダウンさせるためにあらゆる手段を講じます。そのため、アプリケーション、レート、ボリューム、リフレクション、断片化攻撃など、可能な限り多くのエクスプロイトに対してネットワークをテストすることが重要です。
スループット

ボリュームスケーラビリティ

DDoS攻撃の戦術、技術、手順をエミュレートすることは一つのことです。しかし、十分な規模がなければ、攻撃下でのネットワークの応答を完全に評価することは不可能です。例えば、Rapid Reset DDoS攻撃は、1秒あたり3億9800万リクエストという記録的なピークに達しました。そのため、同レベルのスループットを生成できるDDoSテストソリューションを持つことが極めて重要です。さもなければ、インフラストラクチャ、ユーザー、アプリケーションを危険にさらすことになります。
脅威インテリジェンス

進行中の攻撃に関する更新情報

セキュリティは静的なものではありません。サイバー犯罪者は常に新しい手法や悪用する脆弱性を探しています。そのため、主要なDDoSテストツールは、時代の先を行くために脅威インテリジェンスのサブスクリプションに依存しています。グローバルな研究に裏打ちされた脅威インテリジェンスチームは、新しいテスト計画、攻撃シミュレーション、ネットワークトラフィックプロファイルを定期的に発行しています。
ネットワークリアリズム

大規模トラフィック生成

多くの組織は、DDoSテストを単独で実施しています。つまり、正当なネットワークトラフィックを伴わずに攻撃のみを設定しています。このシナリオは非現実的です。なぜなら、他に稼働させ続ける必要があるサービスがない場合、攻撃の軽減ははるかに容易になるからです。対照的に、現実的なテストシナリオでは、善意のトラフィックと悪意のあるトラフィックを大規模にエミュレートし、軽減ツールが悪意のあるDDoSフローをすべて軽減しながら、正当なトラフィックを流し続けることができるかどうかを確認します。
コンテンツの現実性

アプリケーションシミュレーション

コンテンツの現実性は、検査性能に直接影響を与えるため、DDoS軽減ツールの検証において極めて重要です。したがって、理想的なDDoSテスト・ソリューションは、代表的なネットワーク・ペイロードを使用してアプリケーションをパラメータ化できる必要があります。アプリケーション・シミュレーション機能には、マルコフ・テキスト生成、辞書機能、動的ファイル生成、多言語機能、およびアプリケーション・フロー内のランダム化されたデータが含まれます。

DDoSテストに関するよくあるご質問

よくある質問

分散型サービス拒否攻撃(DDoS攻撃)は、標的となるウェブサイト、サーバー、またはネットワークをインターネットトラフィックで圧倒することにより、その機能を妨害することを目的としたサイバー攻撃です。ほとんどの場合、サイバー犯罪者は、侵害されたデバイス(ボット)の群れを使用して、標的となるエンティティに多数のリクエストを送信します。これにより、正当なトラフィックを処理するためのリソースと帯域幅が最終的に消費されます。結果として、膨大な量のトラフィックは標的となるエンティティにとって過負荷となり、クラッシュさせ、ユーザーがアクセスできない状態にします。

DDoSテストは、実際の攻撃が発生する前に組織が脆弱性を特定するのに役立ち、攻撃中のネットワークのレジリエンスと可用性を向上させます。DDoSテストは、DDoS緩和ソリューションなどのセキュリティツールを評価する機会を提供します。また、セキュリティチームが対応計画をテストし、攻撃に効果的に対応できることを確認することも可能にします。

DDoSテストにはさまざまな種類があります。以下に例を挙げます。

 

  • ボリューム型攻撃は、不正な形式のパケットや大量のデータによってシステムを圧倒します。 
  • アプリケーションベースの攻撃は、特定のアプリケーションやサービスを標的にします。 
  • リフレクション攻撃は、正当なリクエストから始まり、その後、ネットワークインフラを圧倒する連鎖的なクエリへと拡大します。
  • プロトコル攻撃は、伝送制御プロトコルなどのネットワークプロトコルの脆弱性を悪用して、通信を妨害します。
  • メモリまたはCPUベースの攻撃は、利用可能なすべての帯域幅を消費することによってネットワーク動作を妨害します。

DDoS攻撃は、ネットワークの展開前後にテストできます。いずれにしても、慎重に管理されない場合や適切なツールなしで実施された場合、テストは潜在的な問題を引き起こす可能性があります。システムが誤ってユーザーを脅威アクターとして認識した場合、偶発的なネットワーク障害、ツール停止、または正当なトラフィックの中断などのリスクがあります。

リソース

DDoS: さらに深く

厳選されたソートリーダーシップのコレクションで、DDoSテストの詳細を見る

お問い合わせ ロゴ

エキスパートへのお問い合わせ

適切なソリューションを見つけるお手伝いが必要ですか?

お問い合わせ