このページの本文へ

アーバーネットワークスに学ぶDDoS攻撃の実態と対策最終回

上流と下流で適切にDDoSから防御を

オンプレミスでのDDoS対策-サービスプロバイダでの対策と併用を!

2013年06月11日 18時20分更新

文● 佐々木 崇/アーバーネットワークス

  • この記事をはてなブックマークに追加
  • 本文印刷

 前回はサービスプロバイダによるDDoS対策サービスを紹介したが、あらゆるタイプのDDoSに対する防御をサービスプロバイダにすべて任せることは、必ずしも正しい選択とはならない可能性がある。

アプリケーションレイヤ攻撃

 これまでもご紹介してきたように、HTTP/HTTPSなどによるアプリケーションレイヤの攻撃は、小容量のボリュームでありながらサーバーに対しては大きなインパクトを与える。ここで注目したいのは、このボリューム量だ。少ないボリュームのDDoSを検知するためには、トラフィックを常時監視する必要がある。だが、そのサービスをサービスプロバイダに求めるのはコストがかかりすぎてしまう。したがって、ボリュームが少なく、インターネットへの接続帯域を超えないDDoSについては、エッジ側で防御する手法が費用対効果の高い方法として知られている。

 ただし、繰り返しではあるが、すべてのDDoSをエッジ側だけで防御することはできない。なぜならばボリュームの大きいDDoSの場合はエッジ側の帯域が枯渇してしまう可能性があるからだ。この点を忘れずに、以下の説明を読んでいただきたい。

オンプレミスでの防御メリット

 オンプレミスでのDDoS防御装置設置には、さまざまなメリットもある。昨今のDDoS攻撃は、攻撃者がサーバーにインパクトがないとわかると、次から次へと手法を変えてくる。したがって、防御する側も柔軟に設定を変更しながらDDoSに対抗することが求められる。設定している防御レベルがDDoS攻撃に対して効果がなければ、次の防御レベルへ移行するなどの手法が求められるのだ。

 防御するサーバーごとに適切な設定が行なえる点も、オンプレミスのメリットだ。WebサーバーとDNSサーバー、そしてメールサーバーが同じパフォーマンスを持つサーバーであることは少ないだろう。したがって、サーバーのパフォーマンスに応じた閾値や防御手法が必要なことであるが、これはオンプレミスのデバイスでこそ可能となるものである

アーバーネットワークスが提供するオンプレミスでのDDoS防御対策機器

サービスプロバイダとの連携

 では、前回紹介したサービスプロバイダでのDDoS防御サービスと、オンプレミスでの防御をどのように組み合わせることが効果的か。ここでは、アーバーネットワークスが提供するソリューションを基に紹介しよう。

 アーバーネットワークスでは、サービスプロバイダ向けのデバイス「Peakflowシリーズ」とともに、オンプレミスでの防御デバイスとして「Pravail APSシリーズ」を提供している。両デバイスは、協調しながら連携する機能を持っている。

 具体的には、オンプレミスでのデバイス(Pravail APS)がDDoSを防御し始めると、その情報がサービスプロバイダ設置のPeakflowに伝達され、サービスプロバイダ側でも防御が開始される。これによりネットワークエッジではつねにアプリケーションレイヤの攻撃を監視、防御するとともに、オンプレミスデバイスでは対抗が難しい大容量ボリュームのDDoSをサービスプロバイダ側で防御可能となる。

上流と下流で適切にDDoSから防御する手法が必要

 本連載では、全8回でDDoS攻撃の実体から防御方法までを紹介してきた。これをきっかけに、読者の皆さんがDDoS防御対策の検討を始めてもらえることを期待したい。最後に要点をまとめて締めくくりとする。

  1. DDoSはサービスの停止を目的としたものであり、サービスが停止しないものはDDoSではない。又DDoSは知的財産の流出を狙ったものではない。
  2. DDoSは思想的、政治的、破壊的行為により、誰しもが狙われる可能性がある
  3. DDoSは大容量のトラフィックボリュームのものから、小容量でかつサービスに影響を与えるアプリケーションレイヤ攻撃までさまざまな手法がある。
  4. DDoS防御とは、サービスを継続させながらDDoS攻撃のトラフィックを緩和することである
  5. DDoS防御は、サービスプロバイダと協業しながら効果的に対抗する方法が必要である

筆者紹介:佐々木 崇(ささき たかし)


アーバーネットワークス株式会社 日本オフィス SEマネージャー。2000年からシスコシステムズにてPre-sales SEとしておもにNTT東日本、東京電力を担当。2004年エラコヤネットワークスへ移籍し、DPIテクノロジーによるアプリケーション識別のソリューションを提案。2008年より現職


カテゴリートップへ

この連載の記事
ピックアップ