DDOS攻撃防御ソリューション

DDoSの攻撃手法

DDoS攻撃の本質は、分散されたクライアントを利用して、ターゲットに対して大量の正規のリクエストを行い、大量のリソースを消費または占有させることで、サービス拒否の目的を達成することである。主な攻撃手法は4つある：
帯域幅を攻撃する
ネットワークの輻輳や応答遅延は、通常、パケット数がネットワーク容量の上限に達するか、それを超える場合に発生する。分散型サービス拒否（DDoS）攻撃はこれを利用し、ターゲットに大量のパケットを送信することで、その帯域幅をすべて占有し、正当なリクエストが応答されないようにすることで、サービス拒否を実現します。この攻撃は単純ではあるが、攻撃者の支配下にあるホストのネットワーク性能に依存しており、攻撃元を容易に追跡できるため、その効果には限界がある。このため、攻撃者はリフレクション攻撃という戦略を開発してきた。この戦法では、攻撃者は偽造したターゲットIPアドレスを持つ特別なパケットをサード - パーティのサーバー（つまり、リフレクター）に送信し、これらのサーバーがターゲットアドレスに応答データを送信するようになりすます。

TCPコネクションを攻撃する
攻撃システムがTCPコネクションを確立する際、クライアントとサーバーの間で3回のハンドシェーキング処理が必要となる。このプロセスに関する情報は、いわゆるコネクション・テーブルに記録される。しかし、このテーブルの容量には限りがあり、上限に達するとサーバーは新しいTCP接続要求を処理できなくなる。攻撃者は、複数のホストを制御して悪意のあるTCP接続要求を大量に開始させ、特にTCP SYN（同期）メッセージを大量に送信することで、サーバーのコネクションテーブルをすぐにいっぱいにします。これらのメッセージにより、サーバーは各リクエストにリソースを割り当てて接続が完了するのを待つため、コネクションテーブルが急速に枯渇し、その結果、正当なユーザーからの新しいコネクションリクエストを受け付けることができなくなる。この戦略により、標的となるサーバーが正当なクライアントと新たなTCP接続を確立することを効果的に阻止し、サービス拒否を実現する。

アプリケーションへの攻撃
DNSとWebサービスは、その広範な使用と中心的な位置により、しばしばDDoS攻撃、特にリソース枯渇攻撃の主な標的となっています。ウェブ技術の急速な進歩に伴い、攻撃者は多数のホストを制御してウェブサーバに悪意のあるHTTPリクエストを大量に送信し、これらのリクエストはサーバの処理能力をすべて占有します。その結果、正規ユーザからの正常なWebアクセス要求に応答できなくなり、サービスが利用できなくなる。このような攻撃は、サーバーのリソースを枯渇させるだけでなく、Webサービスの運用に依存するビジネスに多大な影響を及ぼし、様々な被害が発生する可能性があります。

ハイブリッド攻撃
実世界の攻撃シナリオでは、攻撃者は通常、特定の攻撃手法を選択することはなく、実現可能なあらゆる手段を使って攻撃目標を達成することを主な目的としています。つまり、攻撃者は利用可能なすべてのリソースと戦術を駆使して、ターゲットに対してフルスケールの攻撃を仕掛ける傾向があります。防御側にとってこの状況は、異なるプロトコルや異なるリソースからのDDoS攻撃に備えなければならないことを意味し、攻撃の分析、対応、処理にかかるコストと複雑さを増大させることは間違いありません。近年、ボットネットが小型化する傾向にあるため、攻撃者は、コストを削減し、攻撃元を効果的に隠蔽し、セキュリティ対策を迂回し、同時に攻撃の有効性を確保するために、アプリケーション層に対する小規模な（トラフィックが多く、速度の遅い）攻撃戦略を使用し始めています。この戦略は、一見些細なことのように見えますが、従来のセキュリティ・デバイスでは検知されにくいため、ますます普及し、危険なものとなっています。

DDoS防御

DDoS攻撃は手段でしかなく、最終目標は常に利益です。そして、将来のネットワーク戦争は、より広範囲で、より頻繁で、より正確な攻撃が現れるだろう。私たちはどのように対応すべきでしょうか？

高性能のネットワーク機器を選ぶ：
ルーター、スイッチ、ハードウェア・ファイアウォールなどのネットワーク機器は、高性能で評判の高いブランドを選ぶこと。可能であれば、ネットワーク・プロバイダーと特別なパートナーシップを築き、攻撃時にネットワークの入り口でトラフィックを制限し、特定のタイプのDDoS攻撃から効果的に防御できるようにする。

十分なネットワーク帯域幅を確保する：
ネットワークの帯域幅は、DDoS攻撃への耐性に直接影響します。ネットワークの帯域幅が低すぎる場合（たとえば、10Mしかない場合）、SYNフラッドなどの攻撃に対抗することは難しくなります。少なくとも100Mの共有帯域幅を使用し、1000Mのバックボーンネットワークに接続することを推奨します。

ハードウェアの継続的なアップグレード：
毎秒何万ものSYN攻撃パケットに効果的に対抗できるよう、十分なネットワーク帯域幅を確保しながら、ハードウェア構成をアップグレードすることが重要です。また、リソースの使用状況を最適化し、Webサーバーの処理能力を高めることも推奨されます。

異常トラフィックのクリーニング
パケットルールフィルタリング、データストリームフィンガープリンティング検出、パケットコンテンツカスタマイズフィルタリングなど、DDoSハードウェアファイアウォールの高度な技術を活用し、異常なトラフィックを正確に特定して除去します。
ウェブコンテンツを静的化する：
ウェブコンテンツを可能な限り静的化することで、攻撃への耐性が向上するだけでなく、ハッカーの侵入をより困難にします。データベースへのアクセスを必要とするスクリプトについては、プロキシ・アクセスを使用するトラフィックのほとんどが悪意のあるものである可能性が高いため、プロキシ・アクセスの使用は避ける。

分散クラスタ防御：

各ノードサーバーに複数のIPアドレスを設定し、各ノードが少なくとも10GのDDoS攻撃に耐えられるようにする。あるノードが攻撃によりサービスを提供できなくなった場合、システムは自動的に別のノードに切り替え、攻撃パケットを送信者に返します。これにより、サービスの継続性が確保されるだけでなく、より深いレベルで企業のネットワークセキュリティが保護されます。