最近、アノニマスから官公庁がよくやられているDDoS攻撃について、一般的に用いられる対策の概要をご紹介します。なお、各項目の詳細については別ページで紹介しようと思います。
■DDoS対策装置(クラウド・キャリア)
DDoS攻撃を検知すると、BGPルーティングを広告して対象ドメインへの通信をすべてDDoS対策装置を経由させ、しきい値に従って大量のパケットを送信しているIPアドレスからの通信を順次ブロックしていく。
■DDoS対策装置(オンプレミス)
センタ内部に設置し、DDoS攻撃を検知すると、ルーティングを広告して対象ドメインへの通信をすべてDDoS対策装置を経由させ、しきい値に従って大量のパケットを送信しているIPアドレスからの通信を順次ブロックしていく。センタ内に設置するため、センタ回線を超えるような攻撃は防御できない。
■不要プロトコルブロック
外部からのアクセスを受け付けていないプロトコル(例:ICMP,SNMP,FTPなど)をキャリア内もしくはセンタ側のエッジに設置されたファイアウォールやL3スイッチで通信拒否する。センタ内で対策を行う場合には、センタ回線を超えるような攻撃は防御できない。また、回線帯域情報を取得していない場合、攻撃有無を把握できないのがデメリットとなる。
■海外IPアクセスブロック
海外プロバイダのIPアドレスからのアクセスをキャリア内もしくはセンタ側のエッジに設置されたファイアウォールやL3スイッチで通信拒否もしくはブラックホールルーティングする。センタ内で対策を行う場合には、センタ回線を超えるような攻撃は防御できない。また、回線帯域情報を取得していない場合、攻撃有無を把握できない。なお、海外プロバイダを経由する日本国内ユーザもアクセス不可となるため、実施には注意が必要となる。