ブログ
J-Net_Japan_Blog_Team , Regular Visitor
ブログ
ジュニパーのDDoSソリューション
Nov 27, 2013

インターネットの現状とセキュリティへの脅威

 昨年、インターネット上でやりとりされるイーコマースでの取引額は、World Wide100兆円(日本国内は8.5兆円)にも上り、毎月4.5億人の人がオンラインバンキングを利用している。このようにインターネットは私たちの生活で必要不可欠なものとなっている一方で、540秒に一回の割合で、不審なものを含むアクセスが行われており、DDoS攻撃の被害は前年比で、World Wide3倍に、日本国内に限定すると60倍にも増えている。(警察庁情報技術解析平成23年報より)

 

■DDoSとは?

 DDoS(Distributed Denial of Service)とは、インターネットに接続されている多数のシステムを介して、そこから攻撃先のサイトに対して大量のトラフィックを送信する攻撃である。言い換えれば、複数箇所から同時にDoS攻撃を行う手法である。また、DDoSは偶発的に発生するものではなく、悪意のある誰かの意思により行われる為、いつ、何の目的でターゲットにされるかわからない。また悪意はなくても、PCを知らず知らずのうちに踏み台にされ、加害者側に回っている可能性もある。最近では、今月初旬にイルカ漁を推進している和歌山県太地町や政府機関に対して、抗議のためにアノニマス集団(匿名掲示板などで構成される政治的ハッカー集団)によってDDoSの攻撃予告がなされている。このように、DDoS攻撃の原因についても様々な要因が考えられる。次にDDoSの歴史と伴に、攻撃者のモチベーションについて考察する。

 

■DDoSの歴史

 DDoSという言葉が一般的に認知されたのは、1999年後半であり、その後、20002月頃にYahoo, eBay, CNN, E*Trade, ZDNet等の有名サイトが次々とサービス不能に陥れられたことにより、DDoSの脅威が周知の事実となった。この表は一例に過ぎないが、DDoS攻撃のモチベーションとして、政治的な要因が引き金となるケースや、金を払わないとDDoSを仕掛けるという脅迫、またオンラインでのチケットの取得や、オンラインゲームに勝ちたいという理由でDDoSを仕掛けるなどDDoSのモチベーションは様々な要因で行われる。また、LOICなど簡易のDDoS攻撃ツールの誕生により、一層DDoSの成長を加速させた。

 

 juniper1.png

 

■DDoSの攻撃手法

 DDoSの攻撃には、大きくわけて2通り存在する。一つは、大量のデータを送りつけるボリュームアタック(フラッド攻撃)、これにはSyn Flood, UDP Flood, Ping Flood, リロード攻撃などが含まれ、昔からある攻撃手法である。もう一つは、ここ数年で著しく増加しているロー&スローアタックである。この攻撃は、ボリュームアタックとは異なり、低レートで実行し、RFCに準拠した形で再送やタイムアウトなどのメカニズムを利用し、スループットを著しく低下させターゲットのサーバーを停止に追い込む方法である。このロー&スローアタックのツールの一つとして、Slowlorisというものがある。これは、不完全なリクエストヘッダーを送り続けるもので、webサーバーが最後のヘッダーが送られてくるのを待つ間、セッションをオープンにし続けてwebサーバーのプロセスを埋め尽くすものである。近年では、このロー&スローアタックがDDoS攻撃の約25%を占め、成長を続けている。

 

ジュニパーのDDoS ソリューション

 ジュニパーのDDoSソリューションはユニークな方法でDDoS攻撃に対処する。キーになるコンポーネントは次の2つである。

    Charm(チャーム)

    Resource(リソース)juniper2.png

Charmは、初期値を50とし、パケット単位で人間的な動きか、機械的な動きかをIPアドレスベースで動的に判断しスコアリングをする。通常のオペレーションでは、トラフィックは不規則で通信量も変化する為、人間的な動きと判断される。一方、ツールを使ったオペレーションではトラフィックは規則的で変化に乏しくなり、これらを機械的な動きと判断しCharm値のスコアは低下する。このスコアが高ければ、落とされにくくなり、逆に低ければ落とされやすくなる。

 

また、もう一つの要素であるResourceは、通過するトラフィックを観察し、レスポンスタイムを計測する。そのレスポンスタイムで守るべきネットワークがBusy状態なのかどうかを判断する。

 juniper3.png

 

juniper4.pngそして、動的に変化するネットワークのリソース状態にあわせてCharmの閾値も変化させる。

つまり、リソースが低い(DDoSを受けレスポンスが低下している)状態では、閾値が上がりスコアリングの低い値はほとんど閾値を越えられないので、ドロップさせる。(図中左)

また、リソースに余裕のある状態であれば、スコアの低い値(機械的なツールを使ったパケット)であってもリソースに余裕がある為に通過可能となる。(図中右)

 

このようにジュニパーのDDoSソリューションは、不正なアクセスを特定の閾値を定義するなど

する必要もなく、全てのトラフィックに対してスコアリング、リソース測定、閾値の定義までを動的に行うことができる。また、これは言い変えれば、DDoSから守るだけでなく、本当のユーザーのトラフィックを保護するという面でも効率的である。よく聞く質問で、この攻撃は防げますかと攻撃の種類を数多く並べて尋ねる人もいるが、そのような質問はナンセンスで、本来このようなセキュリティ機器と言ってもネットワーク機器の一部であるので、防ぐだけが目的ではなく、正しいトラフィックを妨げないことが目的であるからだ。

 

■ジュニパーデータセンターソリューション(カウンターセキュリティ)

 今回DDoS対策のソリューションとして話をしてきたが、ジュニパーはデータセキュリティとして統合的なソリューションを持っている。クラウドアタッカーデータベースであるJunos Spotlight Secure, ファイアーウォールのHWアプライアンスであるHigh-End SRX、またWeb侵入偽装システムであるJunos WevApp Secure、これら4つを組み合わせることで他社では成し得ないデータセンターセキュリティを提供する。次回以降、またこれもユニークなソリューションであるJunos WebApp Secureについて掲載する。

 

juniper5.png 

 

ねこ.png臼澤 嘉之

技術統括本部パートナー技術本部

システムズエンジニア

 

システムインテグレーター、米国大手の通信事業社で国内外の通信網の設計、構築、運用の経験を経て、2011年にジュニパーネットワークスに入社。以来新規プロダクトの日本での立ち上げなどを行い、現在はパートナーサポートチームでセキュリティ製品全般を担当。

 

※ご意見やご質問がありましたら、是非otoiawase@juniper.netにメールを頂くか、コメント欄からお寄せください。