アーバーネットワークスに学ぶDDoS攻撃の実態と対策 第6回
DDoSに対抗し続けるには一歩進んだ対策が必要
攻撃を緩和するIDMSとは?-最新のDDoS防御方法を知ろう
2013年05月14日 06時00分更新
前回は既存のデバイスでできるDDoS対策についてご紹介した。しかしながら、DDoSの手法も日々巧妙化されており、DDoSに対抗し続けるには一歩進んだ対策が必要だ。
DDoSを“緩和”するIDMS
「IDMS」はIntelligent DDoS Mitigation Systemsの頭文字をとった名称で、DDoS防御のために最適化されたデバイスを指す。DDoS防御機器にはレイヤ3レベルでの攻撃から、レイヤ7レベルの攻撃までを幅広く網羅し、かつ膨大なコネクションに対してもデバイスが十分動作する能力が求められる。また、新しいDDoS攻撃に対して、すぐにその防御方法が提供されるかという点も重要だ。
したがってDDoS防御機能が複数の混在した機能の一部である場合には、アーキテクチャ上の制限により対抗できるDDoSの種類が限られる可能性がある。IDMSのMは「Mitigation=緩和」であり、これはDDoSを緩和しサーバーでのサービスが継続して提供できることを意味する。つまり、すべてのDDoSパケットをドロップするのではない。IDMSのコンセプトを理解するには、この事を念頭に置いておく必要がある。
それでは、IDMSのいくつかの機能について紹介しよう。IDMSでは大容量の攻撃から小容量の複雑な攻撃までをカバーするため、デバイスの最適化のため低いレイヤでの防御を優先し、続いて高いレイヤへの防御へと移っていく。
レートによる制限
「レートによる制限」とは、防御対象のサーバーに対して、個々のソースアドレスからの通信量をトラッキングし、予め定義された閾値を超えた場合に、そのソースからの通信を遮断する機能だ。もちろん、各ソースからのすべての通信量以外に、TCPのポート80番のみ、TCP SynとUDPポート53番を対象にするなど、柔軟に各レートを計測しながら異常な通信を見つけ出すことが必要だ。
予め定義された閾値を超えた場合に、そのソースからの通信を遮断する「レートによる制限」
一点気を付けないといけないのが、閾値をどのように設定するかという点だ。これは前回も触れたように、日ごろからのモニタリングが重要となってくる。平常時の通信を十分把握した上で、正規の通信に影響を与えないよう閾値を検討することが大事だ。
Synフラッディングに対する防御
大量のTCP Synパケットを送り付ける「Synフラッディング」への対策として、IDMSはやってきたSynへのTCP Syn/Ackを代理応答する。これに対してクライアントからAckの返答が来ない場合は、IPアドレスが偽装されたSynであったと判断できる。最初のSynパケットはサーバーに到達していないため、この時点でSynフラッディング攻撃からサーバーを防御できたことになる。
「Synフラッディングに対する防御」ではやってきたSynへのTCP Syn/Ackを代理応答する
ACKの返答が来た場合でも、それが必ずしも正しい通信であるとは限らない。BotやToolといった実クライアントからの攻撃に対しては、この確認方法のみでは不十分だ。したがって、さらに上位レイヤでの防御手法を通じて最終的な判断が行なわれる仕組みを持つ。
HTTPによる攻撃
TCPの3way hand-shake後繰り返し送り付けられるHTTPのリクエストに対しても、いくつかの防御方法がある。詳細については残念ながらこの場で公開することはできないが、たとえばリクエストの回数であったり、パケットのフォーマットなどにも特徴があるケースがあり、それらを複数のアングルから精査することでDDoSパケットであることを見つけ出す。
アーバーネットワークスでは進化するDDoSを24時間体制で解析するチーム(ASERT)を備えており、その情報を自社開発のDDoS対策プロダクトの「Peakflow」および「Pravailシリーズ」へ反映している。これによりデバイスはつねにアップデートされ、複雑な攻撃に対しても防御が可能となる。なお、一部ではあるがASERTで解析したデータをパブリックに情報公開もしているので、ぜひご確認いただきたい。
DDoSを24時間体制で解析するアーバーネットワークスのセキュリティチーム「ASERT」
さてIDMSにおけるいくつかの防御をご紹介したが、最後に忘れてはならないIDMSの特徴をお伝えしよう。それは、IDMSはサーバーに向かう1方向のトラフィックのみでDDoS防御ができる点だ。これによりIDMSは柔軟にネットワークに適応でき、導入カ所を選ばない。もしDDoS対策を行なうデバイスが双方向トラフィックを要求すれば、それを実現するためには大幅なルーティング設計の変更が必要となり、導入の障壁となるであろう。
次回はサービスプロバイダにおけるDDoS対策を紹介しよう。
筆者紹介:佐々木 崇(ささき たかし)
アーバーネットワークス株式会社 日本オフィス SEマネージャー。2000年からシスコシステムズにてPre-sales SEとしておもにNTT東日本、東京電力を担当。2004年エラコヤネットワークスへ移籍し、DPIテクノロジーによるアプリケーション識別のソリューションを提案。2008年より現職
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
最終回
TECH
オンプレミスでのDDoS対策-サービスプロバイダでの対策と併用を! -
第7回
TECH
もっとも効果的なサービスプロバイダーでのDDoS対策 -
第5回
TECH
すぐにできるDDoS防御と間違った対策 -
第4回
TECH
WebやDNSサーバーを狙う複雑な複雑なDDoS攻撃とは? -
第3回
TECH
偽ったIPアドレスを使うDDoS「Synフラッド攻撃」を理解しよう -
第2回
TECH
ボットからDDoS Toolまで!DDoS攻撃の手口を知ろう -
第1回
TECH
1回100万ドルの被害も!12分に1回発生したDDoS攻撃の実態 -
TECH
アーバーネットワークスに学ぶDDoS攻撃の実態と対策<目次> - この連載の一覧へ
