導入・選定ガイド

アノニマスも怖くない!「DDoS攻撃対策」徹底マスター(後編)

FWやIPSでは防げない「最新型DDoS攻撃」の傾向と対策

文◎太田智晴(編集部) 2012.11.08

  • bookmark
  • Teitter
  • 印刷

「アノニマス」などハクティビズムの嵐が吹き荒れるなか、Webサイトに大量のパケットを送信してサービス停止に追い込むDDoS攻撃による被害が急増している。後編では、大規模化と巧妙化が進む最新型DDoS攻撃の実態と、正しい対策手段について解説する。

DDoS対策は“自前主義”ではなく、サービスプロバイダーに頼る

では、こうした大規模なDDoS攻撃からは、どのように身を守ればいいのだろうか。アカマイもアーバーもトラフィックが集中するサーバーの手前で止めるのは適切ではないという基本的な考え方は共通している。

アーバーが推奨するのは、通信事業者/ISPなどのサービスプロバイダーが提供するDDoS攻撃対策サービスの活用である。ネットワークの“上流”で止めるという考え方である。

図表2は、アーバーのDDoS攻撃対策技術を採用しているKDDIのサービス概要だが、主要な通信事業者/ISPの多くがDDoS攻撃対策サービスを提供している。


図表2 「KDDI DDoS対策サービス」のイメージ図
「KDDI DDoS対策サービス」のイメージ図
DDoS攻撃をKDDIのバックボーン側で防御することが可能。レイヤ3/4だけではなく、レイヤ7のアプリケーションレイヤの攻撃も防げる。また、マルウェアに感染してDDoS攻撃の加担している不正なトラフィックの検知機能、ラック社による緊急駆けつけサービス(オプション)もある
(出典:KDDI資料をベースに編集部作成)


なぜ自前で対策を行うより、通信事業者/ISPなどのDDoS攻撃対策サービスを活用したほうが良いかといえば、それはサーバーの手前で大規模なDDoS攻撃を止めようと考えても、前述の通り、その前に回線がパンクしてしまうためだ。また、仮に回線は大丈夫だったとしても、大規模なDDoS攻撃に対抗できるハードウェアを自前で用意するには多大なコストが必要になる。

ならばユーザー企業と比べてはるかに太いバックボーン回線と強力なDDoS対策装置を有する通信事業者/ISPに任したほうが明らかに賢明である。

実際、DDoS対策の主流はこうしたサービス型となっており、このためDDoS対策ソリューション市場で世界シェア1位であるアーバーの売上も、大部分がサービスプロバイダー向けとなっているそうだ。

DDoS攻撃では、大量の接続要求を送りつける「SYN Flood攻撃」や大量のUDPパケットを送りつける「UDP Flood攻撃」など、Flood=洪水のたとえがよく用いられる。このたとえに倣えば、通信事業者/ISPのDDoS対策サービスでは、上流に最新鋭の巨大ダムを設置し、下流にあるユーザー企業のサーバーを守っているということもできるだろう。

これに対して、まったく別のアプローチを採るのがアカマイのDDoS対策サービス「KONA Site Defender」だ。アカマイの場合は、インターネットの“入口”に置かれた10万8000台以上のサーバーで分散防御を行う。

アカマイは全インターネットトラフィックの25~30%を運ぶ世界最大のCDN(Contents Delivery Network)事業者だが、その高速ネットワークの土台となっているのが世界各地に10万8000台以上設置されたアカマイサーバーである。アカマイでは、この10万8000台以上のサーバーを活用してDDoS対策を行っているのだ(図表3)。


図表3 アカマイの「KONA Site Defender」のイメージ図
図表3 アカマイの「KONA Site Defender」のイメージ図
インターネットのエッジ側に配置された10万8000台以上のアカマイサーバーにより実現されているDDoS対策サービス「KONA Site Defender」。レイヤ3/4のDDoS攻撃については各アカマイサーバーがそのまま吸収、あるいはレスポンスを返すことで、オリジナルのWebサーバーに被害を及ぼさない。また、レイヤ7の攻撃に対しては、アカマイサーバー上のWAFが対処する
(出典:アカマイ・テクノロジーズ)


DDoS攻撃が大規模な攻撃を繰り出せるのは、大量のコンピュータが一斉に攻撃を仕掛けてくるからだ。逆にいえば、1台1台の攻撃はそれほどの脅威ではない。「分散型の攻撃に対して、対策も分散型で実施する。世界10万8000台のDDoS対策装置を購入すると考えてほしい」とアカマイ・テクノロジーズ プロダクト本部 プロダクト・マネージャーの松原達也氏は説明する。インターネットの入口で、DDoS攻撃が“洪水”となる前に無力化してしまうのがアカマイのソリューションである。

アプリケーションレイヤへの攻撃にも注意

もう1つDDoS攻撃について押さえておきたいのは、レイヤ3/4のネットワークレイヤを狙ったボリューム型の攻撃だけではなく、レイヤ7などのアプリケーションレイヤに対する攻撃も増えていることだ。前者がネットワーク回線を埋める攻撃なのに対し、後者はサーバーを潰す攻撃といえる。

「しかも最近の攻撃は非常に巧妙で、この2つのタイプを組み合わせた攻撃が行われているが、アカマイのKONA Site Defenderはそれらにも対処できる機能を具備している」(アカマイのエリス氏)。

アーバーネットワークスのサービスプロバイダー向けDDoS攻撃対策ソリューション「Arbor Peakflow SP/TMS(スレッドマネジメントシステム)」も、ネットワークレイヤを狙ったボリューム型の攻撃とアプリケーションレイヤに対する攻撃の両方を防御できる。「両方に関して対策を施さなければ、DDoS攻撃は防げない」(アーバーの金子高之氏)。

また、アプリケーションレイヤに対する攻撃としては、HTTPをターゲットにしたものが多いが、最近ではHTTPSやDNS、SSLを狙った攻撃も増加してきている。

DDoS対策ソリューションを選択するうえでは、これら最新の攻撃手法も含めて、トータルに防げるかどうかを確認することも大切なポイントになる。

 

>>この記事の読者におすすめのコンテンツ
アーバーネットワークス SSL に対するDDoS 攻撃:新旧の攻撃手法が混在、SSLを使ったサイトもDDoS攻撃には無力

(提供:アーバーネットワークス)
アカマイ・テクノロジーズ アカマイレポート「インターネットの現状(SOTI:The State of the Internet)」

(提供:アカマイ・テクノロジーズ)

スペシャルトピックスPR

1912_has
1912_thales
necpf2001

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】工場5G
    ローカル5Gで実現するスマートファクトリー
[Part1]工場5Gの理想と現実 [Part2]工場でのローカル5Gの活かし方 [Part3]ドコモが考える工場5G [Part4]5G時代の工場NW進化論

[インタビュー] 慶応義塾大学 教授 手塚悟氏「トラストがSociety5.0の基盤」 [ソリューション特集]IoTで始めるHACCP対策 [技術&トレンド]NW視点で見る3大クラウドの違い/水中高速無線を音波・可視光で ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

マクニカネットワークスHACCP対策の切り札となるIoT
LoRaWANで冷蔵庫内もデータ取得

食品業界に義務付けられるHACCP。IoTで手間と人為的ミスを削減できる

住友商事マシネックスついにオラクルがSD-WANに参入!
 クラウド接続に最適な高品質NW

Oracle Failsafe SD-WANは、ネットワーク品質を劇的に変化させる。

APRESIA Systemsローカル5G参入を強力サポート

APRESIA Systemsの「ローカル5Gシステム」はローカル5Gに必要な機能に絞り込み、導入を強力サポート

NECプラットフォームズ教育用ネットワークをトータル提案
IPv6活用でコスト削減・高速化

快適な校内無線LANには、VPNなど校外NWの整備も必要だ!

アット東京AWSやGCPなどメガクラウドに
直結する新時代のデータセンター

アット東京のデータセンターは“つなぐ”価値に磨きをかける!

ヤマハ仮想NWを始めるならヤマハで!

ヤマハの仮想ルーター「vRX」なら、これまでのノウハウをクラウドでも活かせる。

日本ソルテック学校ネットワークを簡単・安価に

日本ソルテックのクラウド管理型無線LANは、専門学校、介護施設を中心に豊富な導入実績!

シスコシステムズ世界で選ばれているオンライン会議
簡単にワンクリックで会議に参加!

Cisco Webexは社内外、誰とでも高品質なオンライン会議が行える。

エイチ・シー・ネットワークス株式会社ネットワークに迫る人手不足の危機
遠隔監視と予防保全で乗り越えろ!

光ファイバの保守現場の深刻な技術者不足。日立金属はどう対応した?

ハイ・アベイラビリティ・システムズ「全て」を一括認証できるSSO
簡単導入でパスワード管理から解放

AccessMatrix USOなら導入や運用も容易にシングルサインオンを実現!

ジェムアルト株式会社マルチクラウド時代の情シスを救う
認証プラットフォーム!

認証・特権ID管理をきめ細やかに! 自社サービスとしても展開可能。

ZscalerDX加速させるクラウドセキュリティ
「100ms以下」の遅延で快適利用

Zscalerの革新的アーキテクチャで働き方改革を強力推進!

パロアルトネットワークスパブリッククラウド基盤の
セキュリティ対策はどうする?

開発のライフサイクル全体でリソースを保護する「Prisma Cloud」

ヤマトロジスティクスキャッシュレス化に乗り遅れるな!
決済端末の導入・運用を一括代行

キャッシュレス決済の導入をヤマトロジスティクスがトータル支援!

アクセスランキング

dwpreport
kaden

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2019 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます