このページの本文へ

アーバーネットワークスに学ぶDDoS攻撃の実態と対策 第6回

DDoSに対抗し続けるには一歩進んだ対策が必要

攻撃を緩和するIDMSとは?-最新のDDoS防御方法を知ろう

2013年05月14日 06時00分更新

文● 佐々木 崇/アーバーネットワークス

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 前回は既存のデバイスでできるDDoS対策についてご紹介した。しかしながら、DDoSの手法も日々巧妙化されており、DDoSに対抗し続けるには一歩進んだ対策が必要だ。

DDoSを“緩和”するIDMS

 「IDMS」はIntelligent DDoS Mitigation Systemsの頭文字をとった名称で、DDoS防御のために最適化されたデバイスを指す。DDoS防御機器にはレイヤ3レベルでの攻撃から、レイヤ7レベルの攻撃までを幅広く網羅し、かつ膨大なコネクションに対してもデバイスが十分動作する能力が求められる。また、新しいDDoS攻撃に対して、すぐにその防御方法が提供されるかという点も重要だ。

 したがってDDoS防御機能が複数の混在した機能の一部である場合には、アーキテクチャ上の制限により対抗できるDDoSの種類が限られる可能性がある。IDMSのMは「Mitigation=緩和」であり、これはDDoSを緩和しサーバーでのサービスが継続して提供できることを意味する。つまり、すべてのDDoSパケットをドロップするのではない。IDMSのコンセプトを理解するには、この事を念頭に置いておく必要がある。

 それでは、IDMSのいくつかの機能について紹介しよう。IDMSでは大容量の攻撃から小容量の複雑な攻撃までをカバーするため、デバイスの最適化のため低いレイヤでの防御を優先し、続いて高いレイヤへの防御へと移っていく。

レートによる制限

 「レートによる制限」とは、防御対象のサーバーに対して、個々のソースアドレスからの通信量をトラッキングし、予め定義された閾値を超えた場合に、そのソースからの通信を遮断する機能だ。もちろん、各ソースからのすべての通信量以外に、TCPのポート80番のみ、TCP SynとUDPポート53番を対象にするなど、柔軟に各レートを計測しながら異常な通信を見つけ出すことが必要だ。

予め定義された閾値を超えた場合に、そのソースからの通信を遮断する「レートによる制限」

 一点気を付けないといけないのが、閾値をどのように設定するかという点だ。これは前回も触れたように、日ごろからのモニタリングが重要となってくる。平常時の通信を十分把握した上で、正規の通信に影響を与えないよう閾値を検討することが大事だ。

Synフラッディングに対する防御

 大量のTCP Synパケットを送り付ける「Synフラッディング」への対策として、IDMSはやってきたSynへのTCP Syn/Ackを代理応答する。これに対してクライアントからAckの返答が来ない場合は、IPアドレスが偽装されたSynであったと判断できる。最初のSynパケットはサーバーに到達していないため、この時点でSynフラッディング攻撃からサーバーを防御できたことになる。

「Synフラッディングに対する防御」ではやってきたSynへのTCP Syn/Ackを代理応答する

 ACKの返答が来た場合でも、それが必ずしも正しい通信であるとは限らない。BotやToolといった実クライアントからの攻撃に対しては、この確認方法のみでは不十分だ。したがって、さらに上位レイヤでの防御手法を通じて最終的な判断が行なわれる仕組みを持つ。

HTTPによる攻撃

 TCPの3way hand-shake後繰り返し送り付けられるHTTPのリクエストに対しても、いくつかの防御方法がある。詳細については残念ながらこの場で公開することはできないが、たとえばリクエストの回数であったり、パケットのフォーマットなどにも特徴があるケースがあり、それらを複数のアングルから精査することでDDoSパケットであることを見つけ出す。

 アーバーネットワークスでは進化するDDoSを24時間体制で解析するチーム(ASERT)を備えており、その情報を自社開発のDDoS対策プロダクトの「Peakflow」および「Pravailシリーズ」へ反映している。これによりデバイスはつねにアップデートされ、複雑な攻撃に対しても防御が可能となる。なお、一部ではあるがASERTで解析したデータをパブリックに情報公開もしているので、ぜひご確認いただきたい。

DDoSを24時間体制で解析するアーバーネットワークスのセキュリティチーム「ASERT」

 さてIDMSにおけるいくつかの防御をご紹介したが、最後に忘れてはならないIDMSの特徴をお伝えしよう。それは、IDMSはサーバーに向かう1方向のトラフィックのみでDDoS防御ができる点だ。これによりIDMSは柔軟にネットワークに適応でき、導入カ所を選ばない。もしDDoS対策を行なうデバイスが双方向トラフィックを要求すれば、それを実現するためには大幅なルーティング設計の変更が必要となり、導入の障壁となるであろう。

 次回はサービスプロバイダにおけるDDoS対策を紹介しよう。

筆者紹介:佐々木 崇(ささき たかし)


アーバーネットワークス株式会社 日本オフィス SEマネージャー。2000年からシスコシステムズにてPre-sales SEとしておもにNTT東日本、東京電力を担当。2004年エラコヤネットワークスへ移籍し、DPIテクノロジーによるアプリケーション識別のソリューションを提案。2008年より現職


■関連サイト

カテゴリートップへ

この連載の記事
この記事の編集者は以下の記事をオススメしています
  • 角川アスキー総合研究所
  • アスキーカード