DoSとDDoS攻撃への手動対策
1つのコンピュータから攻撃するのがDoS(Denial of Service attack)であり、複数のコンピュータから一斉に攻撃するのがDDoS(Distributed Denial of Service attack)です。ともに、サイトに膨大な量のリクエストを送信して、ネットワークやサーバをダウンさせたり誤動作させたりします。その基本的な対策には以下があります。
- ■DoS攻撃への対処
-
DoS攻撃は、攻撃元が1つなので単純です。攻撃元のIPを特定し対策を講じます。
- 1. 特定IPのアクセスを停止する
- 2. 同一IPからのアクセス回数を制限する(たとえば1日に10回まで)
- ■DDoS攻撃への対策
-
DDoS攻撃は世界中の大量なマシンから攻撃されてくるので、攻撃元のIPを特定しにくいという特徴があります。これがDDoS対策を難しくしています。その対策としては、以下が考えられます。
- 1. 同一IPからのアクセス回数を制限する
- 2. Webサイトのサービス対象者を国内に限るのであれば、海外からのアクセスを遮断する
DDoS攻撃のタイプ
手動対策は小規模なサイトならいいのですが、大規模になるととても手が回らなくなります。
そこで必要となるのがツールによる対策です。まず、DDoS攻撃のタイプを理解しておきましょう。
大きく次の2つの攻撃タイプがあります。
- ■帯域幅攻撃
-
大量のパケットを送り込み、ネットワーク帯域幅やネットワーク装置のリソースを消費させ、機能低下させます。ターゲットとなった機器は処理リソースの限界を超え、障害を起こします。もっとも古いタイプで、現在でも猛威をふるっています。
- ■アプリケーションレイヤ攻撃
-
TCPやHTTPなどのプロトコルで予想される動作を利用して、過剰な負荷をかけ、正常な処理を妨げます。HTTPハーフオープン攻撃やHTTPエラー攻撃などがあります。少ないトラフィック量でも大きな負荷を与えることができ、サーバ運用者は攻撃を受けていることに気が付かないこともあります。
代表的なDDoS対策ツール
DDoS対策ツールとして提供されている代表的な製品を紹介します。
- ■WAF(Web Application Firewall)
-
Webサイト上のアプリケーションに特化したファイアウォールです。一般的なファイアウォールとは異なり、アクセスデータの中身をアプリケーションレベルで解析し、不正侵入を防御します。ネットワークおよびアプリケーション レイヤに対するDDoS攻撃からの保護を可能にします。
- ■IDS/IPS(Intrusion Detection System/Intrusion Prevention System)
-
ネットワークへの不正アクセスを検知して、管理者に通報するシステムです。アプリケーション レイヤに対するDDoS攻撃への対策になります。
- ■UTM(Unified Threat Management)
-
ファイアウォール、VPN、アンチウィルス、Webフィルタリングなどの複数のセキュリティ機能を併せ持つ製品です。その中に、DDoS対策を搭載している製品が多くあります。機能を組み合わせて効果的な対策が可能となります。また、1台のハードウェアに複数のセキュリティ機能を持たせることで管理を効率化できます。
- ■DDoS防御専用アプライアンス
-
文字どおりDDoS攻撃防御機能に特化したアプライアンス製品です。専用アプライアンスだけあって高いパフォーマンスで、さまざまなDDoS攻撃を検知・防御できます。インターネットサービスプロバイダやデータセンターなど、大規模なシステムにも対応します。
まとめ
攻撃は激しくなる一方で、効果的な対策が必要とされています。しかし、DDoS対策は必須とはいえ、相応のコストも必要となります。サイトの重要性とコストのバランスから、最適な手段をお選びください。
