DDoS攻撃対策としてのIPアドレス単位のアクセス制御

DDoS攻撃対策として、ACL等でグローバルIPアドレス単位のアクセス制御を行う場合の一般的なメリット・デメリットなどを紹介します。

 

防御方法

センターのエッジにあるルータまたはL3スイッチで国内のグローバルIPアドレス以外からのアクセスを拒否し、海外からの攻撃をブロックする仕組み。また、ACLのほかにルーティングで設定する方法もある。（ブラックホール・ルーティング）

 

制約

性能影響を考えるとログ取得が難しいため、帯域情報などを取得していないと攻撃有無(兆候)を確認できない。

 

メリット・デメリット

○追加のコスト負担なく、対応が可能
△サーバ追加時などのメンテナンスが必要
×国外ネットワークを経由してアクセスする正規ユーザもブロックされる
×アクセス回線の帯域を超える攻撃は防げない
×httpなど、センターで使用しているプロトコルの攻撃は防げない