BGP Flowspecの利用
BGP Flowspecとは、RFC5575にて定義をされたRouterへのパケットフィルターの記載手法です。BGP Flowspec技術のDDoS攻撃対策への活用は、昨今実施される企業が増えてきております。
BGP Flowspecの動作概要
BGP Flowspecはブラックホールルーティングとは異なります。ブラックホールルーティングがネクストホップをNULLに設定することで特定のあて先の通信をRouter上ですべて遮断します。そのためサービスがすべて止まってしまうことを意味します。BGP Flowspecは通信の送付先だけではなく、通信の送付もと、ポート番号などを組み合わせてフィルターを定義することができます。うまく活用をすることによって被害を最小限にとどめることができます。
この技術が出始めたころはRouterが対応をしておらず活用したくてもできなかった企業が多かったのですが、昨今多くのRouterがBGP Flowspecに対応をしています。
BGP Flowspecを活用した機能実装
Sightlineには「BGP Flowspec Automation」という機能が実装されています。従来、BGP Flowspecのフィルターは、Routerに直接書きに行くか、Sightlineに手動で設定を入力することでRouterにフィルターを書きに行くことしかできませんでした。
しかし、DDoS攻撃はいつ何時やってくるかわかりません。また、膨大な量のフィルターを手作業で入力することは大変な作業です。「BGP Flowspec Automation」を使うことで、特定の条件(しきい値)を超えた場合に、事前に設定したBGP Flowspecのフィルター書きに行くことができます。
Black list Offload
また、TMSにもBGP Flowspecを活用した機能があります。「Black list Offload」という機能です。この機能では、一旦TMSにDDoS攻撃トラフィックを引き込みます。TMSの内部ではBlack listを生成する機能があります。その機能を応用して、Black listの情報をRouterに書き込みに行く機能があります。Routerに書き込みに行く際に、Sightlineを通じてBGP FlowspecによってRouterにフィルターを書きに行きます。この機能も自動的に発動します。
Black list Offload機能によって、明らかなDDoS攻撃はRouterによって処理されます。TMSはより高度な攻撃の対処に専念するとともにTMSが持っているキャパシティを効率的に利用することができます。