最適な対策方法の選び方
さまざまなDDoS攻撃対策
DDoS攻撃対策にはさまざまな手法があり、それぞれのサービスにメリットとデメリットがあります。
ここでは主だった手法を解説していきます。
1.クラウド型
クラウド型のDDoS攻撃対策サービスです。クラウド上にDDoS 攻撃をミティゲーションするスクラビングセンターを有し、そちらにDDoS攻撃トラフィックを引き込んで対処をします。
2.ISPサービス
DDoS攻撃がISPを通過する際にDDoS攻撃の検知、ミティゲーションをします。
3.フローコレクター+ミティゲーション機器
フローコレクターで検知をし、ミティゲーション機器でDDoS攻撃の対処をします。
4.インライン型機器
防御したいセグメント(一般的にはネットワーク全体)の通信経路上にインライン型の機器を置きます。
メリット・デメリット
-
クラウド型メリット:
・自社回線を埋め尽くされない
・マルチホームの場合、複数のISPサービスに加入しなくてよい
・サービス事業者が対処をしてくれるデメリット:
・遅延の可能性
・保護したいネットワーク以外も引き込まれる可能性(BGPの場合)
・アプリケーションが限定される(DNSの場合)
・小規模攻撃には対処が困難な場合がある -
ISPサービスメリット:
・自社回線を埋め尽くされない
・保護したいネットワークのみDDoS攻撃から保護
・サービス事業者が対処をしてくれるデメリット:
・マルチホームの場合
・複数のISPサービスに加入する必要がある
・小規模攻撃には対処が困難な場合がある -
フローコレクター+
ミティゲーション機器メリット:
・保護したいネットワークのみDDoS攻撃から保護
・マルチホームの場合、複数のISPサービスに加入しなくてよいデメリット:
・自社回線が埋め尽くされる可能性がある
・自社で対処をする必要がある
・小規模攻撃には対処が困難な場合がある -
インライン型機器メリット:
・保護したいネットワークのみDDoS攻撃から保護
・マルチホームの場合、複数のISPサービスに加入しなくてよい
・小規模攻撃に対処可能デメリット:
・自社回線が埋め尽くされる可能性がある
・自社で対処をする必要がある
・大規模攻撃への対処には制限がある
対策のベストプラクティス
大規模攻撃と小規模攻撃の両方に対応できることが望ましいです。大規模攻撃の対策として、クラウド型、ISPサービスあるいは自社にフローコレクター+ミティゲーションの組み合わせのいずれかを採用するべきです。一方、小規模攻撃への対策としてインライン型を採用いただくことがおすすめです。
また、大規模攻撃対策、小規模攻撃対策のそれぞれの目的のために、導入した製品が連携できることがベストプラクティスとなります。
インライン型の製品が大規模攻撃を受け、その機器で受けきれない量のボリューム攻撃を受けた場合に、クラウド型やISPサービスにシグナルを投げ、それを受け取った上位のサービスで攻撃に対処するといった方式です。NETSCOUT社の製品ではクラウドシグナリングがそれに該当します。
最低限の対策
小規模のISPなどでDDoS攻撃対策への投資が困難な場合、最低限の対策としてSightlineのみを提案させていただく場合があります。Sightlineにてトラフィックの可視化とDDoS攻撃の検知を行います。DDoS攻撃を検知したSightlineは、Routerに対してBGPの広報を送出します。このとき、上位ISPのRouterでブラックホールルーティングができるようにBGP広報に特定のコミュニティをつけます。
BGP広報を受け取った上位ISPは、自社内のRouterに対して特定のあて先(/32)の通信をブラックホールルーティングをします。
この方法の有効な点について解説します。例えば、法人Aあてに攻撃があった場合、法人Bも影響を受けてしまいます。法人Bへのサービスを保護するために、法人AへのDDoS攻撃を含むすべての通信を上位ISP内で止めます。多くのISPがブラックホールルーティングのサービスを無償または低価格で提供しています。
なぜ最良の策ではないかというと、法人Aは一定時間トラフィックを受けられなくなります。
結果的に法人Aに対する攻撃は成功したことになります。