DDoS対策としてのプロトコル単位でのアクセス制御

DDoS攻撃対策として、ACL等でプロトコル単位でのアクセス制御を行う場合の一般的なメリット・デメリットなどを紹介します。

 

防御方法

センターのエッジにあるルータまたはL3スイッチでそのセンターで使用しているプロトコル以外を一律拒否する設定を入れ、DDoS攻撃でよく使われるNTPやDNS、ICMPの通信をブロックする仕組み。回線キャリアによっては、キャリア内ネットワークで対応してくれるところもある。

 

制約

性能影響を考えるとログ取得が難しいため、帯域情報などを取得していないと攻撃有無(兆候)を確認できない。

 

メリット・デメリット

○追加のコスト負担なく、対応が可能
△サーバ追加時などのメンテナンスが必要
×アクセス回線の帯域を超える攻撃は防げない
×httpなど、センターで使用しているプロトコルの攻撃は防げない