検索
連載

DoS攻撃防御製品の仕組みと特徴DoS攻撃の手法と対策(後編)(3/3 ページ)

Share
Tweet
LINE
Hatena
前のページへ |       

帯域制御と帯域保証

 近年インターネットは急速に発展し、いまや全世界共通のITインフラといえるまでに成長した。同時にさまざまな悪意のある攻撃も日進月歩で形を変えながら発生している。いままで説明してきた防御技術は基本的に過去に発生したDoSアタックの技術に基づいて設計されている。ある程度ならば未知のアタックに関しても対応可能であるが、われわれの想像を超えるようなアタック方法が編み出されたときに、100%対応可能とはいい切れない面があることも否めない。

 では将来のアタックに備えて、より根本的なアプローチはないのだろうか。その答えの中でも最も有力なものの1つが帯域制御と帯域保証である。

 インターネットは本来ベストエフォート型と呼ばれるネットワークであり、原理的にはリソース(回線帯域など)に余裕があれば誰でもその100%を使い切ることが可能だ。帯域制御は決められたポリシー(SLA:サービスレベルアグリーメント)に基づいて使用できる帯域に制限をかける方法であり、帯域保証はそれを応用して最低でも設定された帯域以上を確保し、その速度をアプリケーションやユーザーに対して保証する方法だ。

図9 帯域制御ポリシー
図9 帯域制御ポリシー

 例えば図9のようにポリシー定義された帯域保証ネットワーク内においては、Webアクセスに関連する未知のDoSアタックが発生したとしてもメールに対しては必ず20Mbpsの帯域が保証され、CRMに対しては30Mbpsが保証される。

 昨今のアプリケーションはHTTP化、Webサービス化の傾向が見受けられるため、図9の例のようなポート番号によるアプリケーション分類だけでは不十分だ。帯域制御・帯域保証の機能としてもより詳細なパイナリパターンマッチングやコンテキストサーチにより同じアプリケーションポート番号でもより詳細に分類することが必要になる。

図10 アプリケーションデータレベルのフィルタ
図10 アプリケーションデータレベルのフィルタ

 図10に帯域制御ポリシーの設定例を載せてみた。オレンジ色の枠の部分がプロトコル(TCP、UDP)とポート番号、青い枠の部分がバイナリパターンの設定部分、緑色の枠の部分がコンテキストサーチに関する設定部分だ(もちろん日本語データのエンコーディング機能も必須であろう)。このようなポリシー定義機能により、より厳密な形でアプリケーションを分類し、帯域を保証することが可能になる。帯域制御や帯域保証の技術をDoSアタックの防御として使うことをアタックの隔離技術(Attack Isolation)と呼ぶ場合もある。


 以上が現在の主流となる防御技術になるが、参考までに前編で紹介したアタックの内容と対応する防御技術をまとめると以下の図11のようになる。

シグニチャ しきい値 ディレイド
バインディング
SYNクッキー 帯域制御
ランドアタック
スマーフアタック
フラッディング
アタック
SYNアタック
ピングオブデス
F5アタック
未知のアタック
図11 DoSアタックと防御技術の対応一覧

 今回このような記事を書くに当たり、いくつか懸念される点があった。DoSアタックや防御技術の内容を詳しく解説してしまうと、それによって愉快犯のように発生するDoSアタックや、防御技術を回避するようなアタックを誘発してしまう危険性が伴うことになるからだ。この記事の中で述べた攻撃内容をかなり以前から行われている既知のものを中心にしたのも、そういった懸念を少しでも払拭する必要を感じているからであり、セキュリティ専門家の諸氏からすると少し物足りない内容だったかもしれない。

 しかしながら、あまりネットワークやセキュリティに詳しくない技術者の方々にとって、DoSについて詳しく知り、そして先手を打って対策を講じていくことが急務であることもまた事実であり、さらに既知のツールを使った攻撃がいまだにインターネット上を徘徊しているのも現実なのである。

 この記事が何らかの対策の参考やきっかけとなり、それぞれの目的や環境に合った最適な技術を選択することで、安全で快適なインターネット環境が今後も安定して提供されることを願うばかりだ。

Index

DoS攻撃防御製品の仕組みと特徴

Page1

シグニチャベース防御

しきい値(スレッシュホルド)による防御

シグネチャ+しきい値による防御


Page2

ディレイドバインディング

SYNクッキー


Page3

帯域制御と帯域保障


Profile

出雲 教郎(いずも のりお)


日本ラドウェア株式会社

技術部 部長


レイヤー4-7スイッチのリーディングカンパニーであるラドウェアにおいて、コンサルティングやトレーニングを主な業務とする技術部門を統括。


日本DEC時代に培ったとネットワークとサーバアプリケーションに関する深い知識を武器に、ラドウェアのロードバランサ、セキュリティスイッチの提案を主にキャリアと大手エンタープライズ向けに行っている。


[an error occurred while processing this directive]

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  3. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  6. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
ページトップに戻る