DefensePro

DDoS多層防御

DDoS多層防御は下図のように、複数のセキュリティを施してDDoS攻撃の脅威からネットワークを守ることです。中心に保護すべきネットワークがあるとして、外側から地域的なロケーションベースの保護機能があり、その内側に脅威インテリジェンスに基づく、ERTアクティブアタッカーフィードという、既知の攻撃者からの保護を行う機能があります。

更にその内側に既知の攻撃ツールを利用した攻撃から保護を行うSUSというシグネチャの機能があります。ここまでの機能で捕捉できない未知の攻撃に関しては、トラフィック学習ベースの振る舞い検知機能で検知を行うという構成になっています。

RadwareのDDoS対策製品では、このような多層的な防御機能により、既知、未知の攻撃問わず、お客様ネットワークを保護することが可能となっています。

Radware 独自の振舞い検知

Radwareの振る舞い検知は独自の技術が使われています。

他社のDDoSソリューションでは、主にレートリミットによる検知手法（下図の右側）を行い、閾値を超過した通信は正常、攻撃通信を問わず遮断してしまうため、誤検知のリスクが高くなります。Radware製品の場合には独自の機械学習アルゴリズムによりレートを超過した中でも、正常なユーザートラフィックと攻撃トラフィックを自動的に識別します。これにより正常通信への影響を極力抑えて、攻撃通信を遮断することが可能です。

RadwareのDDoS対策製品では、このような多層的な防御機能により、既知、未知の攻撃問わず、お客様ネットワークを保護することが可能となっています。

振る舞い検知による攻撃トラフィック検知

Radwareの振舞い検知がどのように攻撃を検知しているかについて、レイヤー４の一例をご紹介します。

下図の上と下のグラフはトラフィック量を表しており、トラフィック量が一時的に増加している部分があります。
どちらも同じ形をしていますが、上はユーザーの正規トラフィックが増えた場合、下はリセットフラッドの攻撃によりトラフィックが増えた場合の例となります。

単純なレートリミットで通信遮断を行う製品の場合、どちらのケースの場合でも一定以上の通信を遮断するため、上の正規トラフィックが増加したケースでは誤検知が発生します。しかし、Radware製品ではレートベースのみの攻撃判断だけでなく、TCPでは通常時のフラグの分布を学習しており、トラフィックのレート、TCPフラグの分布の2つの要素で攻撃判断を行います。

上の例のようにECサイトのセール実施などで正規トラフィックが増加した場合には、TCPフラグの分布が通常と変わらないため、攻撃とは判断されず通信遮断は行われません。

下の例にRSTフラッドの攻撃を受けた場合には、TCPフラグの分布に通常時と違う偏りが出るため、攻撃と判断して遮断されます。

Radwareではレートベースだけではなく、TCPのフラグのように他の要素を組み合わせて攻撃を判断するため、正常通信の増加なのか、攻撃通信による増加なのか判断することができ、誤検知によるお客様サービスへの影響を最小限に抑えることができます。

リアルタイムシグネチャによるゼロデイ攻撃対策

攻撃を検知した後のシグネチャの生成についても、Radwareでは18秒程度で自動生成が完了します。

これに対し、マニュアルベースでシグネチャを作成するケースでは30分以上の時間が掛かるため、シグネチャ作成が自動で行われ、更にその時間が短いことは、管理者が手動でシグネチャを作成する運用工数を大きく減らします。

シグネチャの中身となるパラメータについては、送信元IP、宛先IP、ポート番号など分かり易いものから、パケットサイズやTTL、シーケンス番号など複数のパラメータを組み合わせて、攻撃通信の特徴にあったシグネチャを生成することができます。

高度なDDoS攻撃へ対応

RadwareのDDoS対策製品では、記載されているような高度なDDoS攻撃への対応も可能です。

レートや既知のシグネチャに依存しない振る舞いベースのDDoS対策機能により、特定IPではなく、サブネット単位など広い範囲に攻撃を行うカーペットボンビングへの対応や、DNSではランダムサブドメイン攻撃やDNSアンプ攻撃にも対応することが可能となっております。

数分程度の間隔で繰り返し攻撃を行い、即時の防御が難しいバースト型の攻撃に対応する機能も備えており、HTTPSフラッドのような暗号化されたフラッド攻撃への対策としても有効です。

また、ボットネットの情報収集により、IoTボットを活用した攻撃にも対応することが可能です。

ホワイトペーパー

• DDoS対策は車のエアバッグのようなもの（DDoS Protection is Like Airbags in Your Car）
• 身代金要求を伴うDDoS攻撃にどのように対処すべきか？（How to Respond to a DDoS Ransom Note）

機能は大きく分けるとNETWORK、SERVER、APPLICATIONの３つに分かれます。

この中でも中核になっている機能として、トラフィック学習ベースの振る舞い検知型の機能として、
主にL3-L4レベルのDDoS攻撃から保護を行うBhavioral DoS、
DNSのFlood攻撃から保護を行うDNS Protection、
HTTPのFlood攻撃から保護を行うHTTP Flood Protectionがございます。

その他の機能としては、ユーザ指定の閾値ベースの機能や、既知のツールからの攻撃保護を行うSignature Protection、国別に通信制御を行うGeo location機能、Threat Interigenceを基にした攻撃者のIP Reputation機能などがございます。

詳細なDefensePro製品の仕様については資料請求ボタンよりお問い合わせください。