導入・選定ガイド

アノニマスも怖くない!「DDoS攻撃対策」徹底マスター(後編)

FWやIPSでは防げない「最新型DDoS攻撃」の傾向と対策

文◎太田智晴(編集部) 2012.11.08

  • bookmark
  • Teitter
  • 印刷

「アノニマス」などハクティビズムの嵐が吹き荒れるなか、Webサイトに大量のパケットを送信してサービス停止に追い込むDDoS攻撃による被害が急増している。後編では、大規模化と巧妙化が進む最新型DDoS攻撃の実態と、正しい対策手段について解説する。

DDoS対策は“自前主義”ではなく、サービスプロバイダーに頼る

では、こうした大規模なDDoS攻撃からは、どのように身を守ればいいのだろうか。アカマイもアーバーもトラフィックが集中するサーバーの手前で止めるのは適切ではないという基本的な考え方は共通している。

アーバーが推奨するのは、通信事業者/ISPなどのサービスプロバイダーが提供するDDoS攻撃対策サービスの活用である。ネットワークの“上流”で止めるという考え方である。

図表2は、アーバーのDDoS攻撃対策技術を採用しているKDDIのサービス概要だが、主要な通信事業者/ISPの多くがDDoS攻撃対策サービスを提供している。


図表2 「KDDI DDoS対策サービス」のイメージ図
「KDDI DDoS対策サービス」のイメージ図
DDoS攻撃をKDDIのバックボーン側で防御することが可能。レイヤ3/4だけではなく、レイヤ7のアプリケーションレイヤの攻撃も防げる。また、マルウェアに感染してDDoS攻撃の加担している不正なトラフィックの検知機能、ラック社による緊急駆けつけサービス(オプション)もある
(出典:KDDI資料をベースに編集部作成)


なぜ自前で対策を行うより、通信事業者/ISPなどのDDoS攻撃対策サービスを活用したほうが良いかといえば、それはサーバーの手前で大規模なDDoS攻撃を止めようと考えても、前述の通り、その前に回線がパンクしてしまうためだ。また、仮に回線は大丈夫だったとしても、大規模なDDoS攻撃に対抗できるハードウェアを自前で用意するには多大なコストが必要になる。

ならばユーザー企業と比べてはるかに太いバックボーン回線と強力なDDoS対策装置を有する通信事業者/ISPに任したほうが明らかに賢明である。

実際、DDoS対策の主流はこうしたサービス型となっており、このためDDoS対策ソリューション市場で世界シェア1位であるアーバーの売上も、大部分がサービスプロバイダー向けとなっているそうだ。

DDoS攻撃では、大量の接続要求を送りつける「SYN Flood攻撃」や大量のUDPパケットを送りつける「UDP Flood攻撃」など、Flood=洪水のたとえがよく用いられる。このたとえに倣えば、通信事業者/ISPのDDoS対策サービスでは、上流に最新鋭の巨大ダムを設置し、下流にあるユーザー企業のサーバーを守っているということもできるだろう。

これに対して、まったく別のアプローチを採るのがアカマイのDDoS対策サービス「KONA Site Defender」だ。アカマイの場合は、インターネットの“入口”に置かれた10万8000台以上のサーバーで分散防御を行う。

アカマイは全インターネットトラフィックの25~30%を運ぶ世界最大のCDN(Contents Delivery Network)事業者だが、その高速ネットワークの土台となっているのが世界各地に10万8000台以上設置されたアカマイサーバーである。アカマイでは、この10万8000台以上のサーバーを活用してDDoS対策を行っているのだ(図表3)。


図表3 アカマイの「KONA Site Defender」のイメージ図
図表3 アカマイの「KONA Site Defender」のイメージ図
インターネットのエッジ側に配置された10万8000台以上のアカマイサーバーにより実現されているDDoS対策サービス「KONA Site Defender」。レイヤ3/4のDDoS攻撃については各アカマイサーバーがそのまま吸収、あるいはレスポンスを返すことで、オリジナルのWebサーバーに被害を及ぼさない。また、レイヤ7の攻撃に対しては、アカマイサーバー上のWAFが対処する
(出典:アカマイ・テクノロジーズ)


DDoS攻撃が大規模な攻撃を繰り出せるのは、大量のコンピュータが一斉に攻撃を仕掛けてくるからだ。逆にいえば、1台1台の攻撃はそれほどの脅威ではない。「分散型の攻撃に対して、対策も分散型で実施する。世界10万8000台のDDoS対策装置を購入すると考えてほしい」とアカマイ・テクノロジーズ プロダクト本部 プロダクト・マネージャーの松原達也氏は説明する。インターネットの入口で、DDoS攻撃が“洪水”となる前に無力化してしまうのがアカマイのソリューションである。

アプリケーションレイヤへの攻撃にも注意

もう1つDDoS攻撃について押さえておきたいのは、レイヤ3/4のネットワークレイヤを狙ったボリューム型の攻撃だけではなく、レイヤ7などのアプリケーションレイヤに対する攻撃も増えていることだ。前者がネットワーク回線を埋める攻撃なのに対し、後者はサーバーを潰す攻撃といえる。

「しかも最近の攻撃は非常に巧妙で、この2つのタイプを組み合わせた攻撃が行われているが、アカマイのKONA Site Defenderはそれらにも対処できる機能を具備している」(アカマイのエリス氏)。

アーバーネットワークスのサービスプロバイダー向けDDoS攻撃対策ソリューション「Arbor Peakflow SP/TMS(スレッドマネジメントシステム)」も、ネットワークレイヤを狙ったボリューム型の攻撃とアプリケーションレイヤに対する攻撃の両方を防御できる。「両方に関して対策を施さなければ、DDoS攻撃は防げない」(アーバーの金子高之氏)。

また、アプリケーションレイヤに対する攻撃としては、HTTPをターゲットにしたものが多いが、最近ではHTTPSやDNS、SSLを狙った攻撃も増加してきている。

DDoS対策ソリューションを選択するうえでは、これら最新の攻撃手法も含めて、トータルに防げるかどうかを確認することも大切なポイントになる。

 

>>この記事の読者におすすめのコンテンツ
アーバーネットワークス SSL に対するDDoS 攻撃:新旧の攻撃手法が混在、SSLを使ったサイトもDDoS攻撃には無力

(提供:アーバーネットワークス)
アカマイ・テクノロジーズ アカマイレポート「インターネットの現状(SOTI:The State of the Internet)」

(提供:アカマイ・テクノロジーズ)

スペシャルトピックスPR

aryaka2003
waf2003
6g2003

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】6Gへ Beyond 5Gへの挑戦
<Part1>6Gは究極の無線通信 <Part2>総務省の6G推進戦略 <Part3>韓国の6G商用化は2028年 <Part4>100ギガ無線へのトビラを開くテラヘルツを人類の手に <Part5>6Gの重要コンセプト「超カバレッジ拡張」 <Part6>6Gへつながる進化の道筋「5G evolution」の全貌 

[インタビュー]東京大学 教授 中尾彰宏氏「ローカル5Gに価格破壊 王道と違う6Gへの道を探求」 [ソリューション特集]スモールビジネスWi-Fi [事例研究]ミクシィがホワイトボックス導入 ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

moconaviBYODもセキュリティもこれひとつ
本当に明日からできるテレワーク

業務システムのリモート利用や公私分計をセキュアに実現するmoconavi

アライドテレシススモールビジネスのWi-Fi整備は
プロにおまかせ!

アライドテレシスなら安く・早く・楽に・安全に導入・運用してくれる

ソネットSMBに“ちょうどいい”Wi-Fi

高コストはかけたくないが、家庭用では性能が足りない。そんなジレンマを解決できるWi-Fiがあった!

ジュニパーネットワークス“ただのSD-WAN”はもう要らない!
LANもWi-Fiもすべてクラウド管理へ

今必要とされているのは、
“SD-WAN+α”のソリューションだ。

Citrix SD-WANシトリックスといえば「UX重視」
その哲学はSD-WANにも!

情シスも現場も幸せになれる
「SD-WAN」がここにある。

ソフトバンク目的・用途別にSD-WAN使い分け!
ソフトバンクが“3つめ”を出す理由

IaaS利用に最適な新SD-WANで
企業のクラウドシフトをサポート!

ブロードメディア・テクノロジーズAryakaの“SD-WAN as a Service”
なら全部お任せできる!

AryakaのSD-WANはコアからラストマイルまで一括で運用を任せられる

東京エレクトロンデバイスクラウド基盤にお勧めのWAF
高い検知性能でコスト削減

WAF市場のリーダー、F5製品は多角的分析による検知精度の高さが特徴だ

一般社団法人新規事業・新規市場創出研究会国内唯一の5G/6G調査研究会!

「5Gでの日本の遅れを取り戻したい」。5G、6G、MaaSをテーマにした調査研究会が4月に運営開始する。

sXGPsXGPはローカル5G導入の第一歩

まもなく帯域が拡張されるLTEベースの自営無線「sXGP」は、ローカル5G導入のファーストステップとなる!

マクニカネットワークスHACCP対策の切り札となるIoT
LoRaWANで冷蔵庫内もデータ取得

食品業界に義務付けられるHACCP。IoTで手間と人為的ミスを削減できる

住友商事マシネックスついにオラクルがSD-WANに参入!
 クラウド接続に最適な高品質NW

Oracle Failsafe SD-WANは、ネットワーク品質を劇的に変化させる。

APRESIA Systemsローカル5G参入を強力サポート

APRESIA Systemsの「ローカル5Gシステム」はローカル5Gに必要な機能に絞り込み、導入を強力サポート

NECプラットフォームズ教育用ネットワークをトータル提案
IPv6活用でコスト削減・高速化

快適な校内無線LANには、VPNなど校外NWの整備も必要だ!

アット東京AWSやGCPなどメガクラウドに
直結する新時代のデータセンター

アット東京のデータセンターは“つなぐ”価値に磨きをかける!

ヤマハ仮想NWを始めるならヤマハで!

ヤマハの仮想ルーター「vRX」なら、これまでのノウハウをクラウドでも活かせる。

日本ソルテック学校ネットワークを簡単・安価に

日本ソルテックのクラウド管理型無線LANは、専門学校、介護施設を中心に豊富な導入実績!

アクセスランキング

tc_banner191122

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます