上流と下流で適切にDDoSから防御を

オンプレミスでのDDoS対策－サービスプロバイダでの対策と併用を！

2013年06月11日 18時20分更新

文● 佐々木　崇／アーバーネットワークス

　前回はサービスプロバイダによるDDoS対策サービスを紹介したが、あらゆるタイプのDDoSに対する防御をサービスプロバイダにすべて任せることは、必ずしも正しい選択とはならない可能性がある。

アプリケーションレイヤ攻撃

　これまでもご紹介してきたように、HTTP/HTTPSなどによるアプリケーションレイヤの攻撃は、小容量のボリュームでありながらサーバーに対しては大きなインパクトを与える。ここで注目したいのは、このボリューム量だ。少ないボリュームのDDoSを検知するためには、トラフィックを常時監視する必要がある。だが、そのサービスをサービスプロバイダに求めるのはコストがかかりすぎてしまう。したがって、ボリュームが少なく、インターネットへの接続帯域を超えないDDoSについては、エッジ側で防御する手法が費用対効果の高い方法として知られている。

　ただし、繰り返しではあるが、すべてのDDoSをエッジ側だけで防御することはできない。なぜならばボリュームの大きいDDoSの場合はエッジ側の帯域が枯渇してしまう可能性があるからだ。この点を忘れずに、以下の説明を読んでいただきたい。

オンプレミスでの防御メリット

　オンプレミスでのDDoS防御装置設置には、さまざまなメリットもある。昨今のDDoS攻撃は、攻撃者がサーバーにインパクトがないとわかると、次から次へと手法を変えてくる。したがって、防御する側も柔軟に設定を変更しながらDDoSに対抗することが求められる。設定している防御レベルがDDoS攻撃に対して効果がなければ、次の防御レベルへ移行するなどの手法が求められるのだ。

　防御するサーバーごとに適切な設定が行なえる点も、オンプレミスのメリットだ。WebサーバーとDNSサーバー、そしてメールサーバーが同じパフォーマンスを持つサーバーであることは少ないだろう。したがって、サーバーのパフォーマンスに応じた閾値や防御手法が必要なことであるが、これはオンプレミスのデバイスでこそ可能となるものである

アーバーネットワークスが提供するオンプレミスでのDDoS防御対策機器

サービスプロバイダとの連携

　では、前回紹介したサービスプロバイダでのDDoS防御サービスと、オンプレミスでの防御をどのように組み合わせることが効果的か。ここでは、アーバーネットワークスが提供するソリューションを基に紹介しよう。

　アーバーネットワークスでは、サービスプロバイダ向けのデバイス「Peakflowシリーズ」とともに、オンプレミスでの防御デバイスとして「Pravail APSシリーズ」を提供している。両デバイスは、協調しながら連携する機能を持っている。

　具体的には、オンプレミスでのデバイス（Pravail APS）がDDoSを防御し始めると、その情報がサービスプロバイダ設置のPeakflowに伝達され、サービスプロバイダ側でも防御が開始される。これによりネットワークエッジではつねにアプリケーションレイヤの攻撃を監視、防御するとともに、オンプレミスデバイスでは対抗が難しい大容量ボリュームのDDoSをサービスプロバイダ側で防御可能となる。