Arbor Networks SP

Arbor Networks SPは、DDoS攻撃の検知に強みを持ったフローコレクターです。Arbor Networks SPは、NetFlow(v1, v5, v7, v9) 、sFlow(v2, v4, v5)、IPFIXなどのフロー情報をルーターから収集し、レポートを作成します。お客様は、レポートを見ることでトラフィックの流れ（どのルート、どのデバイス（インターフェイス）のトラフィック量が多いか、トップトーカー（どこからの通信が多いか）などを知ることができます。また、フローコレクターは、フローを監視することで、DDoS攻撃を検知することができ、DDoS攻撃対策ソリューションとして注目されています。

優れたレポーティングと分析機能

すばやく表示、見やすいレポーティングで瞬時にDDoS攻撃を把握

DDoS攻撃の検知という観点では、レポートの表示速度、見やすさが重要です。Arbor Networks SPは、ルーターなどから取得したフロー情報を、生のデータで保管するのではなく、メタデータ化してから保管します。メタデータをレポート表示用に利用することで表示速度の向上を図っています。また、サマリー画面は、アラート情報や、攻撃情報を一覧で表示します。管理者は、簡単な操作で瞬時にDDoS攻撃を把握することができます。

通常、フローコレクターは、攻撃タイプの認識は行いません。攻撃タイプの認識をするには、ミティゲーション装置との連携が必要です。Arbor Networks SPは、ミティゲーション装置と連携をせずに、攻撃頻度の多いDNSアンプとNTPアンプ攻撃を認識し、アラート表示します。

マルチテナント機能

管理者は、ネットワークセグメント単位で、マネージドオブジェクト（保護対象）を設定します。DDoS攻撃対策サービスを提供されているサービサーの多くは、マネージドオブジェクトをユーザごとに設定します。Arbor Networks SPは、マネージドオブジェクトごとにレポートを作成します。マネージドオブジェクトを、サービスを提供するお客様ごとに作成することで、お客様ごとにレポートを作成できます。さらに、Arbor Networks SPは、それ自体がWebポータルサーバーとなり、レポート画面をそれぞれのお客様に開放する事ができます。同様に、管理者は、マネージドオブジェクトごとに異なる設定を入れることができます。レポートの開放だけではなく、設定画面もお客様に開放することができます。

また、Arbor Networks SPの管理者は、マネージドオブジェクトに対して細かな権限設定をすることができます。同様に、お客様側でも管理者を複数作成し、権限設定をすることができます。

ピアリング分析機能

ピアリング分析は、お客様の上位回線トラフィック量を経路ごとにレポートする機能です。上位回線からのトラフィック量を分析することで、最適なパス選定に必要な情報を見ることができます

数秒でDDoS攻撃を検知

攻撃者が、DDoS攻撃を仕掛ける際、急激に大容量のトラフィックを生成することが難しく、最初の数秒は図１のように徐々にトラフィック量が増えるような攻撃が、ほとんどです。最近は、図2のように、急激に大容量のトラフィックを生成する攻撃が出現しています。こうした攻撃は、長時間行われず、短期間でお客様のネットワークに多大なインパクトを与えます。一般的に、フローコレクターは、DDoS攻撃を検知精度を上げるために、一定時間（1分程度）、経過観察をします。そのため、図2のような攻撃は、検知さえできません。Arbor Networks SPは、「Fast Flood Detection」という独自のアルゴリズムを持っており、こうした、数秒以内に急激に大容量のトラフィックを送りつけ、かつ短時間でやむような攻撃を検知することができます。

DDoS攻撃検知後のアクション

ブラックホールルーティング（非推奨）

Arbor Networks SPは、DDoS攻撃を検知し、ルーターに対してBGPの広報をします。その際、DDoS攻撃と判断された通信のソースIPを指定して「あて先不明」となるようなルーティングをします。ルーターは該当通信を指定どおり「あて先不明」あてに書き換えます。この方法は、指定したソースIPからの通信をすべてドロップしてしまいます。つまり、正常な通信も止めてしまうリスクがあり、推奨されていません。

ミティゲーション装置との連携

「あて先不明」となるようなルーティングを指定するブラックホールルーティングとは異なり、ミティゲーション装置をあて先として指定します。ミティゲーション装置（Arbor Networks TMS）は、正常な通信、DDoS攻撃の判別をおこないます。DDoS攻撃と判断した場合は、ドロップし、正常な通信と判断した場合は、正規の経路に戻します。この方法は、最も利用されているDDoS攻撃対策手法です。

BGP Flowspecの活用

BGP Flowspecを利用することで、フローコレクターが広報する内容に「Flow Type」、「Action Rule」の情報を付加することができます。これらの情報を受け取ったルーター側で指定どおりのルーティングを実施します。通信の細かな制御ができるため、DDoS攻撃対策への活用が今後期待されています。

BGP Flowspecは、RFC5575で定義されています。BGP Flowspecを利用するには、フローコレクター、ルーター共にBGP Flowspecに対応していることが必要となります。

製品ラインナップ

Arbor Networks SP7000

モデル	ルーター数	マルチテナントユーザー数	マネジメントオブジェクト数(注3)
SP-7000(2U)	100台(COREおよびEDGEライセンスによる任意の組み合わせ)　(注1) 200,000 FPS(Flow Per Sec)	25 ユーザー(同時アクセス) (注2)	1000

注1： COREあるいはEDGEライセンスをArbor Networks SPに登録するルーター数分購入が必要です。
　　 COREライセンスには、ピアリング分析機能がありますが、EDGEライセンスにはありません。
注2：ライセンス追加により100まで増やすことが可能です。
注3：保護対象として登録できるネットワークセグメントの数です。

Arbor Networks TMS