このページの本文へ

アーバーネットワークスに学ぶDDoS攻撃の実態と対策 第5回

極小規模なDDoS攻撃は無視する割り切りも!

すぐにできるDDoS防御と間違った対策

2013年04月30日 06時00分更新

文● 佐々木 崇/アーバーネットワークス

  • この記事をはてなブックマークに追加
  • 本文印刷

誰が狙われるのか

 既に解説をしてきたように、パブリックに公開しているWebサイトは何時でも攻撃対象になりうるが、その他アクセス制限されていないDNSサーバーやメールサーバーも対象となる。また、企業の業務を妨害する事を目的として、NATのグローバルIP側に対する攻撃や、若しくは自社のIPがDDoSの送信IPとして使われるケースをも想定して対策を立てる必要がある。

 WebサーバーやDNSサーバー、自社ネットワークのトラフィック傾向をつねに把握しているだろうか。それこそが、DDoS対策を行なう上のカギとなる。Webサーバーでは、TCP Port80以外にサービスで使用しているポートはあるだろうか。また、通常平均のパケットサイズや、パケットサイズ毎の通信量等も重要だ。

DDoS攻撃を判別するためにも、自社ネットワークのトラフィックは把握しておこう

 別の視点では、そのWebサーバーには地理的にどこからアクセスしてきているのか、Webサーバーでのサービス対象者は全世界なのか、国内だけなのかなどの知っておきたい。もちろん、平常時の時間ごとのTCP Synのレート、管理目的でのICMPや遠隔バックアップなどで使われているプロトコルの把握も必要だ。

どの国からのトラフィックかも大切な情報だ

DDoS対策の考え方

 本連載でDDoSの恐ろしさを知った方は、DDoSパケットを一切通したくない、すべてのDDoSパケットを破棄したいと思うだろう。だが、そこまでの必要性は実際はない。攻撃者はサービス停止が目的のため、サービスが停止しない範囲までの極小規模なDDoS攻撃は無視するというある程度割り切った考え方が必要だ。

 もちろんアプリケーションレイヤーアタックのように、ボリュームは大きくないが影響を及ぼすものもある。従って、サーバーやネットワークがどの程度の規模のトラフィックやアクセスに対して耐えうるものであるかを事前に確認しておくことが大事だ。もちろんファイアウォールやIPSといったコネクションを管理する機器のスペックも再確認しておく必要がある。DDoS攻撃によりサーバーがダウンする前に、サーバーより前段にあるネットワーク機器がダウンしてしまったという例は少なくない。

すぐにできるDDoS防御

 最初に取り組んで頂きたいDDoD対策がアクセス制限だ。前述したようにトラフィックの傾向やサービスのスペックが再確認できれば、必要なアクセスを絞り込む事ができると思う。サーバーの運用者やサービスの企画部門と連携しながら、アクセスポリシーを定義し、不要なアクセスを少しでも減らすために、まずはアクセスコントロールリスト(ACL)をルータに設定しよう。

 トラフィックの方向を考慮しながらTCP/UDPポートを制限する事はもちろん、管理・監視目的のIPサブネット定義や、TCP Synパケットの方向性も考慮が必要だ。例えば、外部公開していない企業のクライアントだけのネットワークであれば、基本的に外部から入ってくるTCP Synパケットは起こりえない。また、外部公開しているサーバーであれば外部からSyn/Ackパケットが入ってくることもないだろう。これだけでもSynフラッディングの反射パケットによる影響を未然に防ぐことが可能だ。

 さらには、サーバーで公開している情報が国内向けであったり、若しくは国が限定されるような場合は、不必要な国からのアクセスを事前に制限しておくことで、DDoS攻撃にあうリスクを減らせるかもしれない。

間違ったDDoS対策

 DDoS攻撃に対抗する為、ACL又はBlack hole routingを宛先(Destination)に対して適用し、サーバーに対するすべてのトラフィックを止めて対処するという話を、残念ながらよく耳にする。もちろんこの方法によりネットワークのトラフィックを削減し、他のWebサービスへの影響を解放することが可能であったかもしれないが、ACL(またはBH)によりサーバーへのアクセスをすべて止めるということは、誰もそのサーバーのサービスを受けることができないわけであるから、これはサービス不能状態であり、DDoS攻撃を成功させている事と同じである。

間違った対策は、DDoSと同じ結果になってしまう

 別の例としては、サーバーのアドレスを割り当てなおしてDDoSから逃れようとしたが、DNSへ新しいアドレスを登録した後再度攻撃にあったという事も報告されている。これは多くの攻撃がドメインに向けられたものであり、直接IPを狙ったものではないことによるものだ。

 もしDDoS攻撃の送信元が無数にあり、手作業での対処が困難な場合はDDoS対策用のデバイスが必要となるだろう。

 次回は最新のDDoS対策方法について紹介しよう。

筆者紹介:佐々木 崇(ささき たかし)


アーバーネットワークス株式会社 日本オフィス SEマネージャー。2000年からシスコシステムズにてPre-sales SEとしておもにNTT東日本、東京電力を担当。2004年エラコヤネットワークスへ移籍し、DPIテクノロジーによるアプリケーション識別のソリューションを提案。2008年より現職


カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード