DDoS対策
分散型サービス拒否(DDoS)攻撃がもたらすダウンタイムの脅威は、企業のブランドを傷付け、金銭的な損失も負わせます。多くのIoTデバイスを駆使したボットや有料のDDoSサービスにより、攻撃の脅威はこれまで以上に大きくなっています。F5は、アーキテクチャにとって意味のあるDDoS対策を提供します。
攻撃を受けた場合は(866) 329-4253または+1 (206) 272-7969までお問い合わせください。
ボリューム攻撃
アプリケーションをインターネットまたはその他のネットワークに接続するネットワーク リンクにおける利用可能なすべての帯域幅を消費する攻撃です。
アプリケーション
正規のアプリケーション リクエストを装い、CPUやメモリなどのWebサーバ リソースに過剰な負荷をかけようとする攻撃です。
演算処理
ファイアウォール ステート テーブルなどのインフラストラクチャ リソースを消費して、クラッシュまたはパフォーマンス低下を引き起こす攻撃です。
DDoS攻撃
各アプリケーション層を調べ、さまざまなDDoS攻撃の標的となるアプリケーションの部分を探します。
HTTPフラッド
HTTPフラッドでは、攻撃者は、正規のリクエストに見えるHTTP GETまたはPOSTリクエストを利用して、Webサーバまたはアプリケーションを攻撃します。これらの攻撃は、通常、他の攻撃よりも消費する帯域幅は少ないものの、サーバ側で複雑な処理を起こさせ、標的のサイトまたはアプリケーションをダウンさせます。HTTPフラッドによりWebサーバが起こした応答は、帯域幅を消費する大量攻撃となる場合もあります。
Slowloris
Slowlorisは、Webサーバに複数の接続を開き、不完全なHTTPリクエストを送り続ける攻撃です。攻撃者は、各リクエストのHTTPヘッダを送り続けますが、実際にはリクエストは完了しません。最終的に、標的のサーバは、その最大同時接続プールに達し、正規の接続が拒否されます。
Heavy URL
攻撃者は、サイトまたはアプリケーションの偵察中に、Heavy URLとも呼ばれる最も計算コストの高いURLを割り出します。Heavy URLには、リクエスト時に大きなサーバ負荷がかかる任意のURLが含まれます。最初のHTTPリクエストは比較的小さいサイズですが、完了までに時間がかかる、または応答サイズが大きくなります。これらのリクエストは、サーバに大きなサイズの複数のファイルのロード、またはリソースを消費するデータベース クエリの実行を要求します。
Slow Post
攻撃者はまず、正規のHTTP POSTリクエストをWebサーバに送信します。リクエストのヘッダは、後に続くメッセージ本文の正確なサイズを指定します。この攻撃では、メッセージ本文がゆっくりと送信されますが、メッセージ自体は技術的には正しく完全なので、標的にされたサーバは、指定されたすべてのルールに従おうとします。攻撃者がこのようなPOST攻撃を大量に同時実行した場合、サーバ リソースが使い尽くされ、正規のリクエストが拒否されます。
総当たりログイン攻撃
攻撃者は、アプリケーションまたはWebサイトに不正アクセスすることを目的として、通常は辞書の単語や一般的に使用されるパスワードを利用して、ユーザ名とパスワードの組み合わせを何度も試します。
一般的な対策方法は、ログイン試行が数回失敗したユーザ アカウントを一時的にロックすることですが、この方法では、これらのアカウントへのサービスが拒否されます。
SSL再ネゴシエーション
この攻撃は、非対称ワークロードを利用して、安全な接続を要求し、再ネゴシエーションを連続的に行います。これにより、サーバのCPUが大量に消費され、現在または新規の接続が低速になる、またはサーバがダウンすることもあります。
SSLフラッド
攻撃者は、クライアントが接続を閉じないように、大量のTLS/SSL接続リクエストを送信します。同時接続制限に達すると、正規のリクエストを含め、TLS終端点のトラフィック処理が停止します。
SSL Squeeze
SSL再ネゴシエーション攻撃の一種で、接続ハンドシェイクの再ネゴシエーションを継続的に試行することで、サーバに「ジャンク」リクエストを強制的に復号化させます。
SSLハンドシェイクを増幅させる一般的な再ネゴシエーション攻撃は、サーバで再ネゴシエーションを無効にすることで緩和できますが、SSL Squeezeは、リクエストごとに新しいTCP接続が開かれるので、結果的にI/Oが消費されます。
DNSフラッド
DNSサーバは、UDPプロトコルに基づいて名前解決を行います。UDPはTCPクエリとは異なりコネクションレス型で、UDPパケットが受信されたかどうかの確認は必要ないので、改竄は簡単に行われます。
このスクリプト化されたボットネット攻撃の目的は、サーバ リソースを枯渇させDNSサーバが正規リクエストを転送できないようにすることです。この攻撃は、複数のソースまたはランダム化されたパケット データからの有効なUDPトラフィックで構成できるので、IPフィルタリングなどの基本的なDDoS対策技術を回避できます。
NXDomainフラッド
DNSフラッドの一種で、無効なレコードまたは存在しないレコードのリクエストをDNSサーバに大量に送り付けます。このDNSサーバは、正規のリクエストの処理ではなく、存在しないレコードの検査にリソースを使います。その結果、DNSサーバのキャッシュは、不正なリクエストでいっぱいになり、クライアントは目的のサーバを見つけられなくなります。
DNSアンプ
DNSアンプ攻撃は、リフレクション攻撃の一種で、DNSサーバと接する脆弱なインターネットを操作し、大きいサイズのUDPパケットを送り込むことでインターネット リソースを枯渇させます。
攻撃者が制御するボットネットは、公開されている任意のDNSリゾルバにサイズの小さい特殊な形式のDNSクエリを送信して、そのDNSリゾルバから膨大な応答を引き出します。これらのパケット ヘッダには、なりすましたIPアドレス、つまりDDoSの標的のIPアドレスも含まれます。オープンDNSリゾルバは、このようなクエリを受信すると、膨大な応答を攻撃の標的に送り、これによりインターネット リソースの帯域幅が消費されます。
SYNフラッド
すべてのクライアントとサーバの通信は、標準の3-wayハンドシェイクから始まります。クライアントがSYNパケットを送信し、サーバがSYN-ACKを返します。最後のクライアントACKを受信すると、TCP接続が確立されます。SYNフラッド攻撃では、クライアントは、大量のSYNリクエストを送信しますが、サーバから返されるSYN-ACKメッセージには応答しません。
これにより、サーバは、クライアントからの応答を待機するために接続をオープン状態のままにします。これらのハーフオープンの接続はTCP接続テーブルで確保され、最終的にテーブルがいっぱいになり、正規かどうかに限らず、以降の接続試行がブロックされます。
Memcachedアンプ
アンプ攻撃はリフレクション攻撃の一種で、偽装した小さいサイズのパケットをサービスに送り付けます。サービスは、通常の機能として、大量の応答を標的に送り返します。
Memcachedは、Webサイトおよびネットワークの高速化のためのデータベース キャッシング システムです。攻撃者は、Memcachedサーバに接する脆弱なインターネットへのリクエストを偽造できます。このサーバから大量のトラフィックが標的に送り付けられ、そのリソースを枯渇させます。標的のインフラストラクチャは過剰な負荷を受けると、新しいリクエストを処理できず、通常のトラフィックがインターネット リソースにアクセスできなくなり、サービス拒否に追い込まれます。
アンプ攻撃には他に、NTP、SSDP、SNMPv2、CharGEN、QOTDなどがあります。
UDPフラッド
UDPは、IPネットワークにおける標準の通信プロトコルです。UDPパケットはステートレスなので、TCPとは対照的に、必要なエラー検査および検証が簡単です。UDPフラッド攻撃は、大量のリクエストをサーバに送り付け、アクセス可能なすべてのサーバ ポートの接続テーブルを占有しようとします。
このようなリクエストで接続テーブルがいっぱいになると、正規のリクエストを処理できなくなります。
IPフラグメンテーション
IPフラグメンテーションは、IPプロトコルの設計により確立されるプロセスで、Maximum Transmission Unit(MTU)制限の小さいネットワーク リンクを通過できるように、パケットまたはデータグラムを小さい断片に分割します。ホストまたはステートフル セキュリティ デバイスは、これらの断片を受け取ると元のデータグラムに再生します。データグラムの再生方法は、パケットまたはデータグラムのIPヘッダにより受信側に通知されます。
これらの攻撃は、さまざまな形式で仕掛けられますが、いずれの場合も、フラグメンテーションを利用して、標的のサーバまたはネットワーク ノードに過剰な負荷をかけます。
効果的な防御とは
ビジネスに最適な保護モデルを選択する場合、アプリケーションがクラウド、オンプレミスまたはその両方のどこでホストされるかに従い、導入が簡単なモデルを選択してください。また、社内専門家の人数および実際の管理レベルも考慮してください。ソリューションは、アプリケーション インフラストラクチャ保護のニーズの変化に合わせて進化できます。
オンプレミス
所有および運用デバイスによるDDoS対策を直接制御できますが、帯域幅容量に過度な負荷を与える大規模な攻撃には脆弱なままです。
クラウドベース
すべてのトラフィックはF5 Silverlineを通過し、専門家が24x7体制で攻撃を監視および緩和します。
ハイブリッド
攻撃緩和のタイミングおよび技術を制御できますが、帯域幅を消費する大規模な攻撃に備えF5 Silverlineからのオンデマンドのヘルプが自動化されます。
DDoS対策ガイド
DDoSソリューション
F5は、どのようなDDoS攻撃を受けていても素早く対応できる、シームレス、柔軟、簡単に導入できるソリューションを提供します。
アプリケーション インフラストラクチャの保護
ネットワーク、DNSおよびTLSを保護
ネットワーク、DNSおよびTLSは、通常、アプリケーションの一部と考えられていません。しかし、これらの層を狙ったDoSまたはDDoS攻撃は、ネットワーク、アプリケーションおよびその他のサポート インフラストラクチャをアクセス不能にすることができます。F5のDDoS対策ソリューションは、これらの層を狙った攻撃によりパフォーマンス低下またはダウンタイムが発生しないように保護します。
DDoS対策製品
F5のDDoS対策製品スイートは、包括的な保護を提供して、お客様の組織に有益な環境に簡単に適応します。
DDoS Hybrid Defender(DHD)>
完全なSSL復号化、アンチボット機能および高度な検出方法のすべてを1つのアプライアンスで提供し、ネットワーク攻撃と高度なアプリケーション攻撃の両方を防ぐハードウェア ソリューションです。DDoS Hybrid Defenderは、自動化されたアップストリーム シグナリングのオプションを提供して、不正トラフィックをデータ センタの前でスクラビングします。
Silverline DDoS Protection >
Silverline DDoS Protectionは、フルマネージドのクラウドベース保護サービスとして、大規模な攻撃、SSL/TLS攻撃またはアプリケーションを狙った攻撃をリアルタイムで検知および緩和します。
ソリューションの管理
F5は、DDoSソリューション管理のためのいくつかのオプションを提供しています。アプリケーションがホストされている場所、および社内の技術専門家の人数など、いくつかの要素に基づき、組織に最適なソリューションを決定できるようサポートします。
フルマネージド
F5のDDoS専門家により管理されるクラウドベースのスクラビング サービスです。このサービスは、レイヤ3~7を狙った大規模な攻撃を検知および緩和して、クリーンなトラフィックをお客様のサイトまたはアプリケーションに届けます。
セルフマネージド
お客様自身がDDoS攻撃対策を直接制御できるオンプレミスまたはデータ センタ コロケーション用のアプライアンスです。ハイブリッド ソリューションとして導入し、F5のクラウドベースのスクラビング サービスを活用して、帯域幅を飽和状態にする大量攻撃に備えることができます。
ソリューションの導入
F5のDDoSソリューションは、いくつかの導入オプションで利用できるので、アーキテクチャを変更せずに、DDoS攻撃を緩和できます。
F5ソリューションの導入のサポートが必要な方は以下をご覧ください。
F5へのお問い合わせ:1-888-882-7535
クラウドベース:ALWAYS ON
Silverlineクラウド サブスクラビング サービスによりすべてのトラフィックを継続的に処理して、クリーンなトラフィックのみをお客様のサイトまたはアプリケーションに届けるマネージド サービスです。
クラウドベース:ON DEMAND
システムに事前設定され、攻撃を待機して、攻撃を受けてから対策を開始できるクラウドベースのマネージド サービスです。
オンプレミス:インライン
変則的なトラフィックをすぐに分析し、必要に応じてブロックできるように、オンプレミスDDoS対策アプライアンスをすべてのトラフィックに対してインラインに導入します。
オンプレミス:アウトオブパス
DDoS対策アプライアンスをトラフィック経路外に導入することで、トラフィックが通過するデバイスを可能な限り少なくします。攻撃を確認すると、アプライアンスは、ルータに通知して、トラフィックをDDoS対策アプライアンスに通過させ、サービス低下を防ぎます。攻撃が弱まったら、トラフィック フローはその正規の経路に戻ります。
ハイブリッド
F5のクラウド スクラビング サービスをオンプレミス導入に追加して、帯域幅を飽和状態にする大量攻撃に対抗します。オンプレミス ソリューションは、フルマネージドのオンデマンドで利用できるクラウドベース スクラビング サービスに自動的に通知して、対策を継承させます。
購入方法
サブスクリプション
必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。
永久
必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。
エンタープライズ ライセンス契約(ELA)
1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。
アプリケーションの保護
レイヤ7攻撃は、現在の脅威ランドスケープにおける最も一般的な攻撃です。攻撃者は、アプリケーションのコンピュート能力を狙ってパフォーマンスを低下させる、またはアプリケーションをダウンさせるローアンドスロー攻撃を使用することが増えています。これらの攻撃は、ネットワークレベルの検知を回避でき、一般的に特定のアプリケーションに一意な攻撃です。
DDoS対策製品
F5のDDoS対策製品スイートは、包括的な保護を提供して、お客様の組織に有益な環境に簡単に適応します。
DDoS Hybrid Defender(DHD)>
完全なSSL復号化、アンチボット機能および高度な検出方法のすべてを1つのアプライアンスで提供し、ネットワーク攻撃と高度なアプリケーション攻撃の両方を防ぐハードウェア ソリューションです。DDoS Hybrid Defenderは、自動化されたアップストリーム シグナリングのオプションを提供して、不正トラフィックをデータ センタの前でスクラビングします。
Silverline DDoS Protection >
Silverline DDoS Protectionは、フルマネージドのクラウドベース保護サービスとして、大規模な攻撃、SSL/TLS攻撃またはアプリケーションを狙った攻撃をリアルタイムで検知および緩和します。
ソリューションの管理
F5は、DDoSソリューション管理ためのいくつかのオプションを提供します。アプリケーションがホストされている場所、および社内の技術専門家の人数など、いくつかの要素に基づき、組織に最適なソリューションを決定できるようサポートします。
クラウドベースのマネージド サービス
F5のDDoS専門家により管理されるクラウドベースのスクラビング サービスです。このサービスは、レイヤ3~7を狙った大規模な攻撃を検知および緩和して、クリーンなトラフィックをお客様のサイトまたはアプリケーションに届けます。
オンプレミス ハードウェア
お客様自身がDDoS攻撃対策を直接制御できるオンプレミスまたはデータ センタ コロケーション用のアプライアンスです。
ハイブリッド
お客様自身がDDoS攻撃対策を制御できるオンプレミスまたはデータ センタ コロケーション用のアプライアンス ハードウェアです。オンプレミス ソリューションで処理できない帯域幅を飽和状態にする大量攻撃が発生した場合、フルマネージドのアップストリーム クラウドベース スクラビング サービスに自動的に通知されます。
ソリューションの導入
F5のDDoSソリューションは、いくつかの導入オプションで利用できるので、アーキテクチャを変更せずに、DDoS攻撃を緩和できます。
F5ソリューションの導入のサポートが必要な方は以下をご覧ください。
F5へのお問い合わせ:1-888-882-7535
クラウドベース:ALWAYS ON
Silverlineクラウド サブスクラビング サービスによりすべてのトラフィックを継続的に処理して、クリーンなトラフィックのみをお客様のサイトまたはアプリケーションに届けるクラウドベースのマネージド サービスです。
クラウドベース:ALWAYS AVAILABLE
システムに事前設定され、攻撃を待機して、攻撃を受けてから対策を開始できるクラウドベースのマネージド サービスです。
オンプレミス:インライン
変則的なトラフィックをすぐに分析し、必要に応じてブロックできるように、オンプレミスDDoS対策アプライアンスをすべてのトラフィックに対してインラインに導入します。
オンプレミス:アウトオブパス
DDoS対策アプライアンスをトラフィック経路外に導入することで、トラフィックが通過するデバイスを可能な限り少なくします。攻撃を確認すると、アプライアンスは、ルータに通知して、トラフィックをDDoS対策アプライアンスに通過させ、サービス低下を防ぎます。攻撃が弱まったら、トラフィック フローはその正規の経路に戻ります。
購入方法
サブスクリプション
必要なインスタンスの数を指定して、メンテナンスおよびアップデートのサポートを含む1年、2年または3年単位で契約します。
永久
必要なインスタンスの数を決めて、ライセンスを契約します。永久ライセンスは、製品ライフタイムを通して適用され、個々のサービス単位またはバンドルで利用できます。
エンタープライズ ライセンス契約(ELA)
1年、2年または3年契約で利用できるELAを利用することで、大規模な企業は、必要に応じて仮想インスタンスを柔軟にスピンアップまたはスピンダウンできます。製品メンテナンスおよびサポートも含まれます。
関連資料
ダウンロード資料
サイバー攻撃対策を成功させる方法 〜DDoS 対策、FW /IPS/WAF の活用術〜
Webサイトへの攻撃から効果的に守る方法を理解する上で、把握しておくべき考え方や運用のコツについて、誰にでもわかりやすくまとめました。
漢城大学校、F5を活用して、セキュリティを強化およびネットワーク設備を統合
リソースとサポート
実用的な脅威インテリジェンス
サイバー攻撃は誰が、何を、いつ、なぜ、どのように仕掛けるか、また次のサイバー攻撃はどのような攻撃か分析する、実用的なアプリケーション脅威インテリジェンスです。