Sightline
Sightlineは、DDoS攻撃の検知に強みを持ったフローコレクターです。Sightlineは、NetFlow(v1, v5, v7, v9) 、 sFlow(v2, v4, v5)、IPFIXなどのフロー情報をルーターから収集し、レポートを作成します。お客様は、レポートを⾒ることでトラフィックの流れ(どのルート、どのデバイス(インターフェイス)のトラフィック量が多いか、トップトーカー(どこからの通信が多いか)などを知ることができます。また、フローコレクターは、フローを監視することで、DDoS攻撃を検知することができ、DDoS攻撃対策 ソリューションとして注⽬されています。
優れたレポーティングと分析機能
すばやく表示、見やすいレポーティングで瞬時にDDoS攻撃を把握
通常、フローコレクターは、攻撃タイプの認識は行いません。攻撃タイプの認識をするには、ミティゲーション装置との連携が必要です。Sightlineは、ミティゲーション装置と連携をせずとも、単体で攻撃頻度の多いアンプ系の攻撃(例:DNS、NTP)やMemcached、SSDP、ARMS、WSDDによる攻撃を 認識し、アラート表示します。
マルチテナント機能
また、Sightlineの管理者は、マネージドオブジェクトに対して細かな権限設定をすることができます。同様に、お客様側でも管理者を複数作成し、権限設定をすることができます。
ピアリング分析機能
数秒でDDoS攻撃を検知
攻撃者が、DDoS攻撃を仕掛ける際、急激に大容量のトラフィックを生成することが難しく、最初の数秒は図1のように徐々にトラフィック量が増えるような攻撃が、ほとんどです。最近は、図2のように、急激に大容量のトラフィックを生成する攻撃が出現しています。こうした攻撃は、長時間行われず、短期間でお客様のネットワークに多大なインパクトを与えます。一般的に、フローコレクターは、DDoS攻撃を検知精度を上げるために、一定時間(1分程度)、経過観察をします。そのため、図2のような攻撃は、検知さえできません。Sightlineは、「Fast Flood Detection」という独自のアルゴリズムを持っており、こうした、数秒以内に急激に大容量のトラフィックを送りつけ、かつ短時間でやむような攻撃を検知することができます。
DDoS攻撃検知後のアクション
ブラックホールルーティング(非推奨)
ミティゲーション装置との連携
BGP Flowspecの活用
BGP Flowspecは、RFC5575で定義されています。BGP Flowspecを利用するには、フローコレクター、ルーター共にBGP Flowspecに対応していることが必要となります。
製品ラインナップ
SP7000
| モデル | ルーター数 | マルチテナント ユーザー数 |
マネジメント オブジェクト数(注3) |
|---|---|---|---|
| SP-7000(2U) | 100台(COREおよびEDGEライセンスによる 任意の組み合わせ) (注1) 200,000 FPS(Flow Per Sec) |
25 ユーザー(同時アクセス) (注2) | 1000 |
注1: COREあるいはEDGEライセンスをSightlineに登録するルーター数分購入が必要です。
COREライセンスには、ピアリング分析機能がありますが、EDGEライセンスにはありません。
注2:ライセンス追加により100まで増やすことが可能です。
注3: 保護対象として登録できるネットワークセグメントの数です。