Innovation Leading Company

Arbor Networks SP

Arbor Networks SPは、DDoS攻撃の検知に強みを持ったフローコレクターです。Arbor Networks SPは、NetFlow(v1, v5, v7, v9) 、sFlow(v2, v4, v5)、IPFIXなどのフロー情報をルーターから収集し、レポートを作成します。お客様は、レポートを見ることでトラフィックの流れ(どのルート、どのデバイス(インターフェイス)のトラフィック量が多いか、トップトーカー(どこからの通信が多いか)などを知ることができます。また、フローコレクターは、フローを監視することで、DDoS攻撃を検知することができ、DDoS攻撃対策ソリューションとして注目されています。

優れたレポーティングと分析機能

すばやく表示、見やすいレポーティングで瞬時にDDoS攻撃を把握

DDoS攻撃の検知という観点では、レポートの表示速度、見やすさが重要です。Arbor Networks SPは、ルーターなどから取得したフロー情報を、生のデータで保管するのではなく、メタデータ化してから保管します。メタデータをレポート表示用に利用することで表示速度の向上を図っています。また、サマリー画面は、アラート情報や、攻撃情報を一覧で表示します。管理者は、簡単な操作で瞬時にDDoS攻撃を把握することができます。

通常、フローコレクターは、攻撃タイプの認識は行いません。攻撃タイプの認識をするには、ミティゲーション装置との連携が必要です。Arbor Networks SPは、ミティゲーション装置と連携をせずに、攻撃頻度の多いDNSアンプとNTPアンプ攻撃を認識し、アラート表示します。
Arbor Networks SP 優れたレポーティングと分析機能

マルチテナント機能

管理者は、ネットワークセグメント単位で、マネージドオブジェクト(保護対象)を設定します。DDoS攻撃対策サービスを提供されているサービサーの多くは、マネージドオブジェクトをユーザごとに設定します。Arbor Networks SPは、マネージドオブジェクトごとにレポートを作成します。マネージドオブジェクトを、サービスを提供するお客様ごとに作成することで、お客様ごとにレポートを作成できます。さらに、Arbor Networks SPは、それ自体がWebポータルサーバーとなり、レポート画面をそれぞれのお客様に開放する事ができます。同様に、管理者は、マネージドオブジェクトごとに異なる設定を入れることができます。レポートの開放だけではなく、設定画面もお客様に開放することができます。

また、Arbor Networks SPの管理者は、マネージドオブジェクトに対して細かな権限設定をすることができます。同様に、お客様側でも管理者を複数作成し、権限設定をすることができます。
Arbor Networks SP マルチテナント機能

ピアリング分析機能

ピアリング分析は、お客様の上位回線トラフィック量を経路ごとにレポートする機能です。上位回線からのトラフィック量を分析することで、最適なパス選定に必要な情報を見ることができます
Arbor Networks SP ピアリング分析機能

数秒でDDoS攻撃を検知

攻撃者が、DDoS攻撃を仕掛ける際、急激に大容量のトラフィックを生成することが難しく、最初の数秒は図1のように徐々にトラフィック量が増えるような攻撃が、ほとんどです。最近は、図2のように、急激に大容量のトラフィックを生成する攻撃が出現しています。こうした攻撃は、長時間行われず、短期間でお客様のネットワークに多大なインパクトを与えます。一般的に、フローコレクターは、DDoS攻撃を検知精度を上げるために、一定時間(1分程度)、経過観察をします。そのため、図2のような攻撃は、検知さえできません。Arbor Networks SPは、「Fast Flood Detection」という独自のアルゴリズムを持っており、こうした、数秒以内に急激に大容量のトラフィックを送りつけ、かつ短時間でやむような攻撃を検知することができます。

Arbor Networks SP 数秒でDDoS攻撃を検知

DDoS攻撃検知後のアクション

ブラックホールルーティング(非推奨)

Arbor Networks SPは、DDoS攻撃を検知し、ルーターに対してBGPの広報をします。その際、DDoS攻撃と判断された通信のソースIPを指定して「あて先不明」となるようなルーティングをします。ルーターは該当通信を指定どおり「あて先不明」あてに書き換えます。この方法は、指定したソースIPからの通信をすべてドロップしてしまいます。つまり、正常な通信も止めてしまうリスクがあり、推奨されていません。
Arbor Networks SP DDoS攻撃検知後のアクション

ミティゲーション装置との連携

「あて先不明」となるようなルーティングを指定するブラックホールルーティングとは異なり、ミティゲーション装置をあて先として指定します。ミティゲーション装置(Arbor Networks TMS)は、正常な通信、DDoS攻撃の判別をおこないます。DDoS攻撃と判断した場合は、ドロップし、正常な通信と判断した場合は、正規の経路に戻します。この方法は、最も利用されているDDoS攻撃対策手法です。
Arbor Networks SP ミティゲーション装置との連携

BGP Flowspecの活用

BGP Flowspecを利用することで、フローコレクターが広報する内容に「Flow Type」、「Action Rule」の情報を付加することができます。これらの情報を受け取ったルーター側で指定どおりのルーティングを実施します。通信の細かな制御ができるため、DDoS攻撃対策への活用が今後期待されています。

BGP Flowspecは、RFC5575で定義されています。BGP Flowspecを利用するには、フローコレクター、ルーター共にBGP Flowspecに対応していることが必要となります。
Arbor Networks SP BGP Flowspecの活用

製品ラインナップ

Arbor Networks SP7000

Arbor Networks SP7000
モデル ルーター数 マルチテナント
ユーザー数
マネジメント
オブジェクト数(注3)
SP-7000(2U) 100台(COREおよびEDGEライセンスによる
任意の組み合わせ) (注1)
200,000 FPS(Flow Per Sec)
25 ユーザー(同時アクセス) (注2) 1000

注1: COREあるいはEDGEライセンスをArbor Networks SPに登録するルーター数分購入が必要です。
    COREライセンスには、ピアリング分析機能がありますが、EDGEライセンスにはありません。
注2:ライセンス追加により100まで増やすことが可能です。
注3: 保護対象として登録できるネットワークセグメントの数です。