サイバー攻撃に悩むインフラ担当者の方へ

DDoS対策
のカギは、多層防御にあり!

DDoSの攻撃は規模と複雑さが一段と増しており、正当なユーザのサービスへのアクセスを中断させます。F5 Silverline DDoS防御は、F5 Silverlineクラウドベースのプラットフォームを介して提供されるサービスであり、おびただしい数のDDoS攻撃がネットワークに到達するのを阻止するための検出と対策を提供しています。

DDoS攻撃とは?

 

Distributed Denial of Service attack の略。分散型DoS攻撃とも言われます。DDoSはネットワークのトラフィック(通信量)を増大させ、通信を処理している回線やサーバの処理能力を占有することによって、サービスを利用困難にしたり、ダウンさせたりする攻撃の事です。これらの攻撃には大きく分けて、単純にアクセスを極端に増やして、回線の帯域幅自体に負荷をかける方法とサーバやアプリケーションのセキュリティホールを狙った攻撃を行いサーバなどサービスのインフラ環境に負荷をかける方法とに分かれます。

 

DDoS攻撃はどれぐらい発生しているのか?

 

 

Googleの解説には次のような統計があります。
• 1週間のDDoS攻撃ブラックマーケットから購入する費用は150ドル
• 世界中で観測される一日あたりのDDoS攻撃数は2000以上
• サービス停止時間の中で、DDoS攻撃の占める割合は1/3 DDoS攻撃はけっして特別なものではなく、我々が使っているネットワークやサーバに、いつでも起こりうる事がわかります。

 

攻撃を可視化するツール
下記のツールをご覧になると、リアルタイムの攻撃状況を確認できます。
• Google社 Digital Attack Map
Digital Attack Mapは、Googleが作成したDDoS攻撃を可視化するツールです。日々、世界中で発生している攻撃を確認できます。
• Norse社 IPViking
インターネット上で発生している攻撃がリアルタイムで確認できます。

 

対策する上でのポイントは?

 

対策箇所として大きく分けて2つのポイントがあり、双方に対して適切な対策を施す事が重要です。

回線の帯域幅をパンクさせるタイプの攻撃(UDP Floodなど)は、大量のパケットを送りつけてネットワークの帯域幅そのものを枯渇させ、正規のトラフィックがネットワークを通過できないようにする事を狙っています。この攻撃を防ぐには、自社で契約しているネットワーク回線に入ってくる前での対策が必要です。具体的には、プロバイダーが提供しているDDoS対策サービスメニューを契約し、大量のパケットをプロバイダーのバックボーン網側で遮断する対策が有効です。また、最近ではクラウド型のDDoS対策サービスも登場しているのでそちらも有効です。

2つ目の対策箇所は、アプリケーションインフラへのDDoS攻撃への対策です。サーバ、ルータ、ファイアウォール、ロードバランサ、ミドルウェアなど、アプリケーションを稼働させるためのインフラリソースを枯渇させるタイプの攻撃です。このタイプの攻撃(SYN Floodなど)は、大量のパケットを送りつけてくる攻撃だけとは限りません。アプリケーションやミドルウェアなどの脆弱性を突く少量のパケットデータを送りつけることで誤動作や暴走を誘い、サイトをダウンさせてしまうというものも含ます。対策としては、ネットワークのL3〜7の幅広いレイヤーやサーバOSやアプリケーションそのものも含めて脆弱な部分について対策が必要とされます。

サービスをDDoS攻撃から守るという最終目的の視点に立つと、帯域幅をパンクさせる攻撃、アプリケーションインフラへの攻撃のどちらか一方だけでDDoS対策ができるわけではなく、双方の対策が必要とされます。

 

 

F5のDDoS攻撃防御ソリューション

 

猛烈な勢いで増し続けている DDoS の攻撃の詳細は、4つの種類に分類されるとF5は考えています。 これらの攻撃の分類には 、 以下の特徴があります。

 

ボリューム攻撃
レイヤ 3〜4、またはレイヤー 7が攻撃対象のフラッドベース攻撃
非対向処理型攻撃
タイムアウトまたはセッション状態の変化を引き起こす攻撃
演算処理を消費する攻撃
CPUやメモリを消費する攻撃
脆弱性を突く攻撃
ソフトウェアの脆弱性を悪用する攻撃

 

これらのカテゴリに対処するための防御メカニズムは進化しており、今日の知名度の高い企業は特定の方法でこれらを導入して、セキュリティの確保に最大限取り組んでいます。このような企業と連携して各社のコンポーネントの調整を繰り返し、F5 は特定規模や業界要件 を持つデータセンタに対する DDoS を緩和するアーキテクチャを開発してきました。

 

F5のクラウドベースのDDoSスクラビングサービス

 

クラウドベースの DDoS スクラビングサービスは、あらゆる DDoS 攻撃を緩和するアーキテクチャの中で重要なサービスです。攻撃者が 1 Gbps のネットワーク帯域幅に対して、 50 Gbps のデータを 送信した場合、オンプレミスの対策ではこの問題に対処できません。この問題は、沢山の人 が同時に入り口のドアに殺到する状況に似ています。このクラウドサービスは、パブリッククラウドとして提供され、正しい通信と判断されるデータと明らかに不正なデータを大まかに仕分けして、問題に対処します。

→ F5のDDoSサービスについて詳しく

 

クラウドベースの DDoS スクラビングサービスを選択する方法:

攻撃を受ける前に選択できます。頻繁に攻撃されるサービスの場合、定額の月極めプランを推奨します。攻撃の頻度がそれほど高くないと予測されるサービスの場合は、攻撃が発生したタイミングでのサービス契約を推奨します。ただし、お客様の状況に応じて、ポリシーは定期的に見直しします。

 

BIG-IPによるマルチティア DDoS防御によるサービス保護

 

マルチティアのDDoSソリューションを推奨します。

第1層では、レイヤ3〜4 を保護するネットワーク・ファイアウォール・サービスを配置し、第 2 層への単純なロードバランシング・サービスを組み込みます。第2層では、SSLターミネーションや Webアプリケーション・ファイアウォール、より高度で処理負荷の高いサービスを配置します。

 

ティア1 – ネットワークレイヤーの防御

第1層では、ネットワーク・ファイアウォールとして構築します。SYNフラッドや ICMP フラグメントフラッドなどの演算処理を消費する攻撃を緩和する設計とします。この層は、エントリポイントを輻輳させる大量攻撃も緩和します。F5のお客様の多くがIPレピュテーション・データベースをこの層で利用し、DDoS攻撃中にIPアドレスを特定し制御します。

 

 

Advanced Firewall Manager (AFM)
機能:ネットワーク・ファイアウォール
緩和される攻撃:SYNフラッドール・ICMPフラッド
→ BIG-IP AFMについてもっと読む

Local Traffic Manager (LTM)
機能:ティア1ロードバランシング
緩和される攻撃:マルフォームパケット・TCPフラッド
→ BIG-IP LTMについてもっと読む

DNS (旧 GTM Global Traffic Manager)
機能:DNS解決・DNSSEC
緩和される攻撃:UDPフラッドDNSフラッド・NXDOMAINフラッド・DNSSEC攻撃
→ BIG-IP DNSについてもっと読む

 

ティア2 – アプリケーション防御

第2層では、アプリケーションを識別するCPU負荷の高い防御メカニズムを展開することを推奨します。たとえば、ログインウォール、Web アプリケーション・ファイアウォール・ ポリシー、および F5® iRules® を使用する動的なセキュリティ対策などのメカニズムです。

第2層では、通常 SSL ターミネーションも処理します。第1層でSSLをターミネートする場合もありますが、SSLキーおよびポリシーの機密をセキュリティ境界で維持するため、 この方法は一般的ではありません。

 

 

Application Security Manager (ASM)
機能:SSLターミネーション・Webアプリケーション ファイアウォール
緩和される攻撃:Slowloris・スローPOST・Apache Killer・RUDY/Keep Dead
→ BIG-IP ASMについてもっと読む

Local Traffic Manager (LTM)
機能:セカンダリロードバランシング
緩和される攻撃:SSL再ネゴシエーション
→ BIG-IP LTMについてもっと読む

お問い合わせ