DDoS ファイアウォールは DDoS 攻撃を防ぐことができますか

ファイアウォールはすべての DDoS（分散型サービス拒否）攻撃を防ぐことはできません。
 

 

攻撃手段の複雑さと多様性：DDoS 攻撃には多くのタイプがあります。例えば、ボリューメトリック（流量型）攻撃、アプリケーション・レイヤー（応用層）攻撃などです。流量型攻撃では、膨大なデータパケットを送り出してネットワーク帯域幅を詰まらせます。例えば UDP Flood（ユーザーデータ報プロトコル洪水攻撃）では、攻撃者は大量の偽の IP アドレスを利用してターゲットサーバーに UDP データパケットを送り、サーバーの帯域幅を使い果たします。ファイアウォールはこのような超大規模な流量攻撃に直面した場合、帯域幅が飽和して効果的に対応できない可能性があります。アプリケーション・レ ay ヤー攻撃では、見かけ上正常な HTTP リクエストを構築してサーバー資源を使い果たすものです。例えば HTTP Flood（超文本伝送プロトコル洪水攻撃）では、攻撃者はゾンビネットを操作して大量の HTTP リクエストを送り、これらのリクエストは伝統的なファイアウォールのルール検出を回避する可能性があります。なぜなら、それらは正常なユーザーアクセスのように見えるからです。
 

攻撃流量の偽装：攻撃者は攻撃流量を偽装するための手段を採用します。例えば、プロキシサーバー、反射攻撃などの技術です。反射攻撃では、攻撃者は無実の第三者サーバーにターゲット IP アドレスを付けたリクエストパケットを送り、これらの第三者サーバーは応答パケットをターゲットサービスに送り返し、これによって大規模な流量攻撃が形成されます。ファイアウォールはこれらの合法的な応答パケットと悪意のある攻撃流量を区別することが難しいです。なぜなら、それらは異なるソース IP アドレスから来て、形式上は正常な流量と似ているからです。

ある企業が伝統的なファイアウォールを展開したと仮定します。その企業が複雑な DDoS 攻撃、例えばロウ・アンド・スロウ・アタックス（低速攻撃）に遭遇した場合、攻撓者は極めて低い速度で悪意のあるリクエストを送り、長時間サービス資源を占領します。この攻撃方式はファイアウォールの通常のルールで検出されることは難しいです。なぜなら、ファイアウォールは通常、閾値（例えば每秒のリクエスト数など）に基づいて異常流量を判断するからです。このような閾値を下回るが長時間続く攻撃に対して、ファイアウォールはそれを正常流量と見なして通す可能性があります。

 

ただし、ファイアォールはすべての DDoS 攻撃を防ぐことはできませんが、それでもネットワーク安全防御体系の重要な一部です。それは他の安全対策（例えば侵入検出系、流量洗浄装置など）と一緒に協同作業を行うことで、全体的な DDoS 攻撃防御能力を高めることができます。