2017.02.21
技術部情報
中の人の日常
【MiraiNET】ミライネットのDDoS対策
ミライネット 技術部の伊藤です。
今回は、ミライネットのDDoSへの取り組みをご紹介いたします。
DDoS(※ディードス)とは、ネットワークを通じた攻撃手法の一種で、標的となるコンピュータに対して複数のマシンから大量の処理負荷を与えることでサービスを機能停止状態へ追い込む手法のことです。
弊社にも、DDoSが来ることがあります。
数100MB程度~数G程度と様々です。
幸いにも10Gを超えるような、本気なDDoSは来てないです。
DDoSはセキュリティが脆弱なWebカメラ等が乗っ取られたり、
マルウェアに感染した機器が攻撃元となり大量の通信を送り込んできます。
これらを個別にACL(アクセスコントロールリスト)を書いて攻撃を止めるというようなことは現実的に出来ません。
マルウェアに感染した機器が攻撃元となり大量の通信を送り込んできます。
これらを個別にACL(アクセスコントロールリスト)を書いて攻撃を止めるというようなことは現実的に出来ません。
そこで、ミライネットでは次のような手法をとっています。
正しい対処方法かというと賛否あると思いますが、予算の都合もありますので・・・
——————————————————–
1・DDoS攻撃先の影響も可能な限り軽減する
2・DDoS攻撃先の巻き添えで他サービスへの悪影響を排除する
——————————————————–
1・DDoSのトラフィック特性や、攻撃対象のサーバーの稼働サービスをみて、特定
のプロトコルを遮断することで緩和できる場合は、バックボーンルータにACLを
投入して不要なパケットを破棄します。しかしながら、これで緩和できない攻撃
も多いです。
2・各サーバを収容しているスイッチで共有できるトラフィック以上の攻撃が流れ込んできた場合、
攻撃対象のサーバ以外のサーバまで停止してしまうケースが考えられます。
これを防ぐため、ある閾値を超えDDoS攻撃を受けていると判断したサーバーへの通信を
バックボーンルータで破棄する処理を自動で行います。攻撃が止んだら自動で復旧します。
この対処方法では攻撃対象は通信断になりますので、攻撃者の勝ちですが、
他サービスを守るためにやむを得ない処置です。
将来的には、パケットをクリーンナップしてくれる機器を導入したりクラウドサービス
と連携したDDoS対策も検討していきたいと思っています。
