DDoS攻撃対策の基本とは? ~対策ツールも紹介~
DDoS攻撃対策のご相談は、F5にお任せください。
F5 のクラウド型とオンプレミス型のハイブリッド DDoS プロテクション ソリューションで、 いかに今日の巧妙化する攻撃からお客さまのビジネスを守るか。その導入シナリオをご紹介します。
サイバー攻撃に悩むインフラ担当者の方へ
DDoS攻撃対策のカギは、多層防御にあり
DDoS攻撃とは?
Distributed Denial of Service attack の略。分散型DoS攻撃とも言われます。
DDoSはネットワークのトラフィック(通信量)を増大させ、通信を処理している回線やサーバの処理能力を占有することによって、サービスを利用困難にしたり、ダウンさせたりする攻撃の事です。(1つのIPから攻撃されるDos攻撃と違い複数のIPから一斉に攻撃されることが特徴です。)これらの攻撃には大きく分けて、単純にアクセスを極端に増やして、回線の帯域幅自体に負荷をかける方法とサーバやアプリケーションのセキュリティホールを狙った攻撃を行いサーバなどサービスのインフラ環境に負荷をかける方法とに分かれます。
DDoS攻撃はどれぐらい発生しているのか?
Googleの解説には次のような統計があります。
- 1週間のDDoS攻撃ブラックマーケットから購入する費用は150ドル
- 世界中で観測される一日あたりのDDoS攻撃数は2000以上
- サービス停止時間の中で、DDoS攻撃の占める割合は1/3
DDoS攻撃はけっして特別なものではなく、我々が使っているネットワークやサーバに、いつでも起こりうる事がわかります。
DDoS攻撃を可視化するツール
下記のツールをご覧になると、リアルタイムの攻撃状況を確認できます。
- Google社 Digital Attack Map
Digital Attack Mapは、Googleが作成したDDoS攻撃を可視化するツールです。日々、世界中で発生している攻撃を確認できます。
- Norse社 IPViking
インターネット上で発生している攻撃がリアルタイムで確認できます。
DDoS攻撃を対策する上でのポイントは?
対策箇所として大きく分けて2つのポイントがあり、双方に対して適切な対策を施す事が重要です。
回線の帯域幅をパンクさせるタイプの攻撃(UDP Floodなど)は、大量のパケットを送りつけてネットワークの帯域幅そのものを枯渇させ、正規のトラフィックがネットワークを通過できないようにする事を狙っています。
この攻撃を防ぐには、自社で契約しているネットワーク回線に入ってくる前での対策が必要です。
具体的には、プロバイダーが提供しているDDoS対策サービスメニューを契約し、大量のパケットをプロバイダーのバックボーン網側で遮断する対策が有効です。
また、最近ではクラウド型のDDoS対策サービスも登場しているのでそちらも有効です。
2つ目の対策箇所は、アプリケーションインフラへのDDoS攻撃への対策です。サーバ、ルータ、ファイアウォール、ロードバランサ、ミドルウェアなど、アプリケーションを稼働させるためのインフラリソースを枯渇させるタイプの攻撃です。
このタイプの攻撃(SYN Floodなど)は、大量のパケットを送りつけてくる攻撃だけとは限りません。
アプリケーションやミドルウェアなどの脆弱性を突く少量のパケットデータを送りつけることで誤動作や暴走を誘い、サイトをダウンさせてしまうというものも含ます。
対策としては、ネットワークのL3〜7の幅広いレイヤーやサーバOSやアプリケーションそのものも含めて脆弱な部分について対策が必要とされます。
サービスをDDoS攻撃から守るという最終目的の視点に立つと、帯域幅をパンクさせる攻撃、アプリケーションインフラへの攻撃のどちらか一方だけでDDoS対策ができるわけではなく、双方の対策が必要とされます。
F5のDDoS攻撃対策ツール
猛烈な勢いで増し続けている DDoS の攻撃の詳細は、4つの種類に分類されるとF5は考えています。
これらの攻撃の分類には 、 以下の特徴があります。
1.ボリューム攻撃
レイヤ 3~4、またはレイヤー 7が攻撃対象のフラッドベース攻撃
3.非対向処理型攻撃
タイムアウトまたはセッション状態の変化を引き起こす攻撃
2.演算処理を消費する攻撃
CPUやメモリを消費する攻撃
4.脆弱性を突く攻撃
ソフトウェアの脆弱性を悪用する攻撃
これらのカテゴリに対処するための防御メカニズムは進化しており、今日の知名度の高い企業は特定の方法でこれらを導入して、
セキュリティの確保に最大限取り組んでいます。
このような企業と連携して各社のコンポーネントの調整を繰り返し、F5 は特定規模や業界要件 を持つデータセンタに対する DDoS を緩和するアーキテクチャを開発してきました。
F5のクラウドベースのDDoSスクラビングサービス
クラウドベースの DDoS スクラビングサービスは、あらゆる DDoS 攻撃を緩和するアーキテクチャの中で重要なサービスです。
攻撃者が 1 Gbps のネットワーク帯域幅に対して、 50 Gbps のデータを 送信した場合、オンプレミスの対策ではこの問題に対処できません。この問題は、沢山の人 が同時に入り口のドアに殺到する状況に似ています。このクラウドサービスは、パブリッククラウドとして提供され、正しい通信と判断されるデータと明らかに不正なデータを大まかに仕分けして、問題に対処します。
クラウドベースの DDoS スクラビングサービスを選択する方法:
攻撃を受ける前に選択できます。頻繁に攻撃されるサービスの場合、定額の月極めプランを推奨します。攻撃の頻度がそれほど高くないと予測されるサービスの場合は、攻撃が発生したタイミングでのサービス契約を推奨します。ただし、お客様の状況に応じて、ポリシーは定期的に見直しします。
BIG-IPによるマルチティア DDoS防御によるサービス保護
マルチティアのDDoSソリューションを推奨します。
第1層では、レイヤ3〜4 を保護するネットワーク・ファイアウォール・サービスを配置し、第 2 層への単純なロードバランシング・サービスを組み込みます。
第2層では、SSLターミネーションや Webアプリケーション・ファイアウォール、より高度で処理負荷の高いサービスを配置します。
ティア1 – ネットワークレイヤーの防御
第1層では、ネットワーク・ファイアウォールとして構築します。SYNフラッドや ICMP フラグメントフラッドなどの演算処理を消費する攻撃を緩和する設計とします。この層は、エントリポイントを輻輳させる大量攻撃も緩和します。F5のお客様の多くがIPレピュテーション・データベースをこの層で利用し、DDoS攻撃中にIPアドレスを特定し制御します。
Advanced Firewall Manager (AFM)
機能:ネットワーク・ファイアウォール
緩和される攻撃:SYNフラッドール・ICMPフラッド
→ BIG-IP AFMについてもっと読む
Local Traffic Manager (LTM)
機能:ティア1ロードバランシング
緩和される攻撃:マルフォームパケット・TCPフラッド
→ BIG-IP LTMについてもっと読む
DNS (旧 GTM Global Traffic Manager)
機能:DNS解決・DNSSEC
緩和される攻撃:UDPフラッドDNSフラッド・NXDOMAINフラッド・DNSSEC攻撃
→ BIG-IP DNSについてもっと読む
ティア2 – アプリケーション防御
第2層では、アプリケーションを識別するCPU負荷の高い防御メカニズムを展開することを推奨します。
たとえば、ログインウォール、Web アプリケーション・ファイアウォール・ ポリシー、および F5® iRules® を使用する動的なセキュリティ対策などのメカニズムです。
第2層では、通常 SSL ターミネーションも処理します。
第1層でSSLをターミネートする場合もありますが、SSLキーおよびポリシーの機密をセキュリティ境界で維持するため、 この方法は一般的ではありません。
Application Security Manager (ASM)
機能:SSLターミネーション・Webアプリケーション ファイアウォール
緩和される攻撃:Slowloris・スローPOST・Apache Killer・RUDY/Keep Dead
→ BIG-IP ASMについてもっと読む
Local Traffic Manager (LTM)
機能:セカンダリロードバランシング
緩和される攻撃:SSL再ネゴシエーション
→ BIG-IP LTMについてもっと読む
ダウンロード資料
サイバー攻撃対策を成功させる方法 〜DDoS 対策、FW /IPS/WAF の活用術〜
Webサイトへの攻撃から効果的に守る方法を理解する上で、把握しておくべき考え方や運用のコツについて、誰にでもわかりやすくまとめました。
次のステップ
BIG-IP APMの製品情報を確認する
BIG-IP APMに関して問い合わせをする
製品・ソリューションに関する ご相談・お問い合わせ
