ダウンロード

技術概要：DDoS の脅威 - リスク、緩和、およびベストプラクティス

ホワイトペーパー

DDoS の脅威：リスク、緩和、およびベストプラクティス

Distributed Denial of Service（DDoS; 分散型サービス拒絶）攻撃からネットワークリソースを保護することは、知名度の高い Web サイトを運営する企業だけの問題ではありません。実際 Gartner 社では、有効な対策を講じていない企業の半数が 2007 年までにボットネットの被害によって経済的損失またはサービス面での損失を被るだろうと予測しています。* DDoS 攻撃のリスクは業務の停止や生産性の低下だけでなく、Web サービスを利用する主要な収益源の喪失、IT 部門が DDoS 攻撃への対応に追われているすきを狙った情報漏洩やデータ盗難、あるいは株価操作などの広い範囲に及びます。

従来から使用されている Intrusion Prevention System（IPS; 侵入防御システム）などの攻撃緩和ソリューションは、アプリケーションレイヤの攻撃から個々のサーバやサブネットを保護するためには役立ちます。しかし、これらのソリューションは、帯域幅を大量に消費する DDoS 攻撃によって上流のリンクが飽和状態になったり、完全にダウンしてしまうといったリスクを解消することはできません。このような場合、サービスが技術的に利用できる状態であるにもかかわらず、すべて（またはほとんど）の正規のトラフィックがブロックされてしまいます。

Cisco® Guard ソリューションは個々のサーバだけでなく上流のリンクも保護することによって DDoS 攻撃のリスクを緩和します。Cisco Guard ソリューションは 2 つの要素で構成されます。まず Cisco Traffic Anomaly Detector では、保護対象のリソース宛のトラフィックを常時分析し、異常なトラフィックパターンを識別します。ここで攻撃が検出されると、トラフィックは Cisco Anomaly Guard に送られます。Cisco Anomaly Guard では、さまざまなメカニズムを利用して不正なトラフィックを廃棄するとともに、正規のトラフィックを攻撃の対象となっている所定の宛先に送信します。

Cisco Guard ソリューションを導入する際には、各企業に適した構成方法を選択できます。Cisco Guard ソリューションの制御をきめ細かく行う必要がある企業では、Cisco Guard ソリューションを社内に配置することができます。ただし、サービスプロバイダーと企業のデータセンター間を結ぶリンクが不正トラフィックと正規トラフィックの両方に対応できるように、十分な帯域幅を用意する必要があります。「ネットワークエッジで廃棄するだけの不正なトラフィックを、余分な帯域コストを掛けて伝送する必要があるのか」という疑問を持つ企業、あるいは提供されているマネージドサービスを利用する企業の場合は、Cisco Guard をサービスプロバイダーのネットワーク内に設置します。異常検知は、企業内またはサービスプロバイダーネットワークのどちらで実施することも可能です。マネージドサービスを利用すると、DDoS トラフィックを含まない正常なトラフィックのみがサービスプロバイダーからデータセンターに伝送されます。

このホワイトペーパーでは、企業のシステム担当者を対象として、DDoS 攻撃を緩和する Cisco Guard ソリューションの重要性について説明します。最初に DDoS 攻撃のリスクと DDoS 攻撃の緩和に必要な特別な要件について説明します。さらに、Cisco Guard ソリューションの仕組みについて述べ、最後に、運用計画の作成や社内配置とマネージドサービスのどちらが適しているかといった構成上の考慮事項について説明します。

* 『Protect Your PCs and Servers from the Botnet Threat』Gartner（2004 年 12 月 29 日）

DDoS 攻撃の影響

DDoS 攻撃では、多くのホストから 1 つの攻撃対象に正規のサービス要求が不正に送信されます。DNS サーバ、E メールサービス、オンラインアプリケーション、ルータインターフェイスなど、インターネットに接続されたすべてのリソースが攻撃対象になる可能性があります。DDoS 攻撃の結果、リンクや機器が飽和状態になって、一部のトラフィック（正規のトラフィックも不正トラフィックも含まれます）しか処理できなくなります。最悪の場合には、膨大な量の要求によって Web サーバや上流のルータがダウンして、すべてのトラフィックが停止してしまいます。

DDoS 攻撃には、次のようなリスクがあります。

業務の停止と生産性の低下
業務停止に伴う販売およびサポートサービスにおける主要な収益の喪失 - DDoS 攻撃によって最も大きな損害を受けるのは、自社の Web サイトを使用して販売や重要なサポートサービス、またはニュースサービスや検索エンジンなどのコアビジネスを行っている企業です。
企業イメージの低下による長期的な収益減少 - DDoS 攻撃によって業務が停止している間に顧客が競合企業の Web サイトを利用し、競合企業に顧客を奪われて長期的な収益の減少を招く可能性があります。
情報漏洩/データ盗難 - ハッカーはクレジットカード番号や知的財産などの顧客や企業の機密情報を盗み出す際に、陽動作戦として DDoS 攻撃を使用する場合があります。
恐喝 - 金銭を支払えば DDoS 攻撃を停止する（または実行しない）といって企業を脅迫します。恐喝行為はもともと海外のゲーム会社をターゲットに行われていましたが、最近は Fortune 500 企業にまで被害が広がっています。 **
株価の操作 - ある種の企業では、Web サイトの停止が株価の低下につながる場合があります。デイトレーディングによって利益を得ようとするハッカーによって DDoS 攻撃が実行される場合もあります。
悪質な業務妨害 - 最近では、従来型の小売企業がコンピュータコンサルタントを雇ってオンライン上の競合相手に DDoS 攻撃を仕掛けた事例があります。

** 『Extortion via DDoS on the Rise』NetworkWorld（2005 年 5 月 16 日）

DDoS 攻撃を緩和するための多層的アプローチ

シスコシステムズは DDoS 攻撃を確実に防御するさまざまな DDoS 対策テクノロジーを提供しています。シスコが提供しているテクノロジーには、Cisco Security Agent、Cisco IPS、Cisco ルータ、Cisco Guard などがあります。これらはいずれも DDoS の緩和に重要な役割を果たします。

Cisco Security Agent

Cisco Security Agent を Web サーバにインストールすると、クライアントあたりの接続数を制限できます。通常のクライアントから出される接続要求は毎分数回程度ですが、DDoS 攻撃では毎分 200 回を超える接続が行われることがあります。1 つのクライアントが実行する接続回数を毎分 15 回以内に制限した場合、タイマーが終了するまでの間は 16 回目以降の接続は拒否されます。このようにして、Cisco Security Agent は正規のトラフィック処理の妨げにならないレベルにまで DDoS 攻撃の影響を軽減します。

Cisco Security Agent は個々のサーバを悪質な攻撃から保護するのには役立ちますが、上流のリンク保護にはなりません。上流のリンクが飽和状態になると、トラフィックをサーバに伝送できなくなります。後述する Cisco Guard ソリューションを利用すると、企業は Cisco Security Agent の機能を補完する形で上流のリンクやデバイスを保護することができます。

Cisco IPS

サブネットに Cisco Intrusion Prevention System（IPS; 侵入防御システム）を導入すると、IPS デバイスから下流での DDoS の脅威を軽減できます。IPS はさまざまなフラッドシグニチャを認識し、それぞれのシグニチャに対してシステム管理者が指定したアクションを自動的に実行します。実行されるアクションには、接続のリセット、IPS でのパケット廃棄による不正パケットの侵入防止、攻撃対象に近いエッジルータまたはスイッチのアクセスコントロールリスト（ACL）の変更などがあります。IPS では、エッジルータのレートリミットポリシーを作成することもできます。たとえば、SYN フラッド攻撃が検出された場合、IPS デバイスでは、転送する SYN パケット数を制限して内部ネットワークや攻撃対象デバイスの負荷を軽減するポリシーをルータ上に定義できます。

Cisco IPS は、Cisco Security Agent と同様、サブネットやサブネット上のホストを多くの悪質な脅威から保護しますが、最近の巧妙化した DDoS 攻撃の影響を完全に解消することはできません。

Cisco ルータ

ネットワークエッジの Cisco ルータでは、ACL、ブラックホールルーティング、レートリミット、およびトラフィックフローレポーティングなどの機能を使用して、特定のタイプの DDoS 攻撃を緩和できます。

ACL - 企業のアドレスを偽装したトラフィックや Windows の制御ポート宛のトラフィックといった明らかに好ましくないトラフィックをフィルタリングします。偽のアドレスを使用して DDoS 攻撃が実行されている場合、関係するアドレスの数が多すぎて不正なユーザを特定できないため、ACL だけでは大規模な DDoS 攻撃を防御することはできません。また、ACL では Network Address Translation（NAT; ネットワークアドレス変換）に対応することができません。NAT を使用しているサイトから大勢のユーザがリソースにアクセスしようとした場合、すべてのトラフィックが同一のアドレスから送信されているように見えるため、送信元の特定ができません。
ブラックホールルーティング - 特定の送信元から受信するすべてのトラフィック、または特定のアドレス宛のすべてのトラフィックを効果的にブロックできます。ただし、ブラックホールルーティングでは、ある送信元からの Web トラフィックは正常だが DNS トラフィックには問題があるといった場合に、正常なトラフィックと問題のあるトラフィックを区別することができません。
レートリミット - DDoS 攻撃の影響を軽減するためには有効ですが、DDoS の脅威を完全に解消することはできません。
トラフィックフローレポーティング - 正常なネットワークベースラインとネットワークトラフィックを常時比較します。

トラフィックフローレポーティングは Cisco NetFlow テクノロジーで利用できます。Cisco NetFlow はトラフィックフローに関する情報を収集して、異常を検知する相関分析ツールにその情報を送信します。Cisco NetFlow は DoS の検出とネットワークトラフィックフロー分析を行うテクノロジーで、業界で最も広く使用されています。Cisco NetFlow はハードウェア、Cisco IOS® ソフトウェア、および Cisco Catalyst® オペレーティングシステム（OS）ソフトウェアで提供されています。

Cisco NetFlow はフローに基づいてパケットを分類します、各フローは、入力インターフェイス、IP プロトコルタイプ、サービスタイプ（ToS）バイト、送信元 IP アドレス、宛先 IP アドレス、送信元ポート番号、および宛先ポート番号の 7 つの特性を使って定義されます。これらの特性を使用すれば、正常なトラフィックパターンのベースラインプロファイルを作成するのに必要な情報が得られます。Cisco NetFlow によってトラフィックフローの詳細なアカウンティングが作成されるので、IT ユーザは通常のトラフィックパターンからの逸脱（DDoS 攻撃の前兆の可能性）を発見できます。

通常、Cisco NetFlow はネットワークエッジで使用されますが、サービスプロバイダーでは、多くの攻撃の侵入経路であるエッジやピアのインターフェイスを監視するために使用することもできます。ルータは Cisco IOS NetFlow キャッシュを使用して現在のフローを把握できます。企業はキャッシュの IP フロー情報を外部のコレクタにエクスポートして、さらに詳細な分析を行うことができます。エクスポートしたデータを分析すると、管理者が脅威の種類を特定し、入力 ACL、Network-Based Application Recognition（NBAR）、Unicast Reverse Path Forwarding（uRPF）といった Cisco IOS ソフトウェアで利用できる適切な緩和技術を適用するのに役立ちます。

Cisco NetFlow のデータを分析するには、cflowd、flow-tools、autofocus などのフリーウェアツールを使用できます。また、Arbor Networks などのベンダーが大規模なデータ収集、分析による DoS および DDoS 攻撃の検出、および一元的なレポート機能に対応した GUI ベースのコレクタアプリケーションツールを提供しています。Arbor Networks の Peakflow ソフトウェアが Cisco NetFlow の統計情報を分析して異常を検出した場合には、Cisco Anomaly Guard に不正なトラフィックを除去するように通知することができます。

シスコの DDoS 緩和ソリューション：Cisco Guard

Cisco Guard ソリューションは、ACL、ファイアウォール、リモート起動のブラックホールルーティング、トラフィックフローレポーティング、IPS、およびポリシーの実施や緩和を行うツールの代わりに使用するものではなく、これらのツールを補完するものです。Cisco Guard は攻撃対象サーバや関連するサブネットだけでなく、Cisco Guard と攻撃対象ホスト間の帯域幅すべてを保護します。Cisco Guard は重要なビジネスを DDoS 攻撃から保護することを目的に設計されています。Cisco Guard を使用すると、正常なトラフィックを通過させながら不正なトラフィックをブロックできるため、下流のリソースが大量の不正トラフィックによって被害を受けるのを防止できます。Cisco Guard は常時稼働するインラインソリューションではなく、トラフィックが迂回された場合に動作するオンデマンド型のソリューションです。

プロアクティブな緩和の概要

DDoS 攻撃を防御する Cisco Guard ソリューションは、Cisco Traffic Anomaly Detector と Cisco Anomaly Guard の 2 つのコンポーネントで構成されています（図 1）。どちらも、アプライアンスとして、あるいは Cisco Catalyst 6500 シリーズスイッチまたは Cisco 7600 シリーズルータ向けのモジュールとして提供されています。Cisco DDoS ソリューションを初めて導入する場合、管理者は正常なトラフィックの動作プロファイルを作成します（このプロセスを学習といいます）。企業はアプリケーションを 24 時間から 1 週間ほど通常どおりに使用して、Cisco Traffic Anomaly Detector にアプリケーショントラフィックを流します。この学習期間中に、Traffic Anomaly Detector はネットワークの正常動作を識別するベースライン情報を収集します。収集される情報には、次のようなものが含まれます。

パケットタイプごとのパケットレート（パケット/秒）
パケット比率（SYN パケットと FIN パケットの比率など）
1 つの送信元が同時に開く TCP 接続数

ベースライン情報は宛先ホストアドレスごと、宛先サブネットごと、送信元ホストアドレスごと、および送信元サブネットごとに収集されます。

学習期間が終了すると、Cisco Traffic Anomaly Detector は監視モードになり、Cisco Anomaly Guard はスタンバイモードになります。攻撃が実行されていない場合、インターネットから着信するトラフィックは Cisco Anomaly Guard を経由せずにスイッチに到達します。Cisco Traffic Anomaly Detector には着信トラフィックのコピーが分析用に送信されます。このコピーの送信には、Switched Port Analyzer（SPAN; スイッチドポートアナライザ）または VACL を使用します。Cisco Traffic Anomaly Detector がベースラインと比較して異常な動作を発見すると、次のような緩和プロセスが開始されます。

Cisco Traffic Anomaly Detector が Cisco Anomaly Guard に迂回処理を開始するように指示します。
Anomaly Guard は攻撃対象となっている IP アドレス宛のトラフィックを迂回（ハイジャック）します。
Anomaly Guard はトラフィックを多層的に分析して、正常なトラフィックと不正なトラフィックを区別するための対策を講じます（このプロセスをクリーニングまたはスクラビングといいます）。
Anomaly Guard は不正なトラフィックを廃棄して、正常なトラフィックを通常のトラフィックパスに戻します（このプロセスをインジェクションといいます）。

図 1 Cisco Guard ソリューション
※ 画像をクリックすると、大きく表示されます。

Cisco Traffic Anomaly Detector

Cisco Traffic Anomaly Detector は、サーバ、ファイアウォールインターフェイス、ルータインターフェイスなどの保護対象の宛先（ゾーン）に対する DDoS 攻撃の兆候を常時監視する受動的なモニタリングデバイスです。Cisco Traffic Anomaly Detector は、SPAN や受信用のネットワークタップを介して受け取った、保護対象ゾーン宛てのすべての着信トラフィックのコピーを分析します。この分析では、ベースラインとなるしきい値（ゾーンポリシー）と現在のトラフィック動作を比較して、異常なトラフィック動作を検出します。異常動作が攻撃によるものであると判断されると、Cisco Traffic Anomaly Detector はアウトオブバンドのイーサネット管理ネットワークを使用して Cisco Anomaly Guard に攻撃の分析と緩和を開始するように通知します。

Cisco Anomaly Guard

Cisco Anomaly Guard はトラフィックの分析とフィルタリングを行う内蔵型デバイスです。Cisco Anomaly Guard は攻撃の対象になっていると考えられる特定のゾーン宛てのトラフィックを受信すると、その詳細な分析を行います。分析の結果、トラフィックが不正であることが確認されると、Cisco Anomaly Guard はスプーフィング防止機能やさまざまなレベルのフィルタリング機能などの対抗手段を講じます（表 1）。その結果、不正な送信元からのトラフィックは廃棄され、正規の送信元からのトラフィックは所定の宛先に転送されます。

検出および緩和の対象となる DDoS 攻撃

表 1 は、Cisco Guard ソリューションによって検出および緩和される DDoS 攻撃のタイプを示しています。

表 1 DDoS 攻撃のカテゴリおよびタイプ

攻撃のカテゴリ	攻撃のタイプ
帯域消費型攻撃	スプーフィングおよび非スプーフィングフラッド攻撃： TCP フラグ（SYN、SYN-ACK、ACK、FIN）攻撃 Internet Control Message Protocol（ICMP）攻撃 User Datagram Protocol（UDP）攻撃 SYN フラッド攻撃、Smurf 攻撃、LAND 攻撃、UDP フラッド攻撃など
	ゾンビ/ボットネット攻撃（ゾンビやボットは多数の TCP 接続を開始。HTTP 要求を繰り返し送信する場合もある）
	DNS 攻撃（DNS 要求フラッドなど）
リソース飽和型攻撃	パケットサイズ攻撃（フラグメント化されたパケットやラージパケット）：Teardrop や Ping-of-Death など
	低速ゾンビ/ボットネット攻撃（ゾンビやボットが低速で大量の要求を送信。その他は帯域消費型攻撃と同様）
	DNS 攻撃（DNS lookup を繰り返し実行）

DDoS 攻撃の詳細な説明については、次の URL に記載されている『The Internet Protocol Journal』（英語）を参照してください。
http://www.cisco.com/en/US/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

トラフィック迂回オプション

IT 部門は上流のネットワークから Cisco Anomaly Guard にトラフィックを迂回させる場合に（このプロセスはトラフィックハイジャクともいいます）、次の処理を選択できます。

Cisco Anomaly Guard から上流のルータへの Border Gateway Protocol（BGP）通知。保護されている宛先へのトラフィックを Cisco Anomaly Guard にルーティングするように通知します。
外部のトラフィック迂回手段（リモートの BGP アップデートルータなど）の使用。
Cisco Anomaly Guard から Cisco Catalyst 6500 シリーズまたは Cisco 7600 シリーズスーパーバイザエンジンのルーティングプロセスに対する Route Health Injection（RHI）通知。この通知によって、Cisco Anomaly Guard モジュールに対するスタティックルートが、ネクストホップとしてグローバルルーティングテーブルに追加されます。

トラフィックインジェクションオプション

トラフィックインジェクションは、Cisco Anomaly Guard がクリーニング済みの正常なトラフィックを攻撃の対象となっている宛先に転送するプロセスです。Cisco Guard ソリューションは複数のトラフィックインジェクションオプションをサポートしています。レイヤ 2 トポロジオプションでは、クリーニング済みのトラフィックは Cisco Anomaly Guard から Cisco Guard のトラフィックインジェクションインターフェイス/VLAN と同一の VLAN またはサブネットに接続された下流のルータにスタティックに設定されたネクストホップアドレスに転送されます。レイヤ 2 トラフィックインジェクションは、下流のルータの大幅な設定変更を伴わないので設定が容易です。

トラフィックインジェクションのレイヤ 3 トポロジオプションには、次のようなものがあります。

VPN Routing/Forwarding（VRF; VPN ルーティングおよび転送）
Policy-Based Routing（PBR; ポリシーベースルーティング）
VLAN トランキング
Generic Routing Encapsulation（GRE; 総称ルーティングカプセル化）または IP Encapsulation Within IP（IPIP）トンネル

フォールスポジティブとフォールスネガティブ

Cisco Guard が防御する攻撃
Cisco Guard は不正なトラフィックの 95% 以上をブロックします。DDoS 攻撃でよく使用される SYN パケットなどの正常なパケットがネットワークに被害を与えることはほとんど（あるいは、まったく）ないため、多少のフォールスネガティブが発生しても、それが悪影響を及ぼす可能性はほとんどありません。被害をもたらす可能性のある不正パケットやアプリケーションレイヤの悪用は、Cisco IPS を使用してブロックできます。

Cisco Guard が正常なパケットをブロックしない理由
Cisco Guard が正常なトラフィックを誤ってブロックする割合は 5% 未満であり、これは、Intrusion Detection System（IDS; 侵入検知システム）や他のシグニチャベースのソリューションでフォールスポジティブが発生する一般的な割合よりも低い値です。Cisco Guard ソリューションでフォールスポジティブが発生する割合が低い理由は、個々の送信元に対して複数のレベルで検査を行ったうえで、不正な DDoS トラフィックかどうかを判断するためです。Cisco Guard では、次のようなさまざまなタイプの検査が行われます。

宛先ごとの分析
宛先ごとの分析に基づいて適用されるアンチスプーフィング
送信元ごとの分析
送信元ごとの分析に基づいて適用される送信元ベースの廃棄フィルタ

構成オプション

Cisco Guard ソリューションは、すべてを社内に配置することも、すべてをサービスプロバイダー内に配置することもできます。また、Cisco Traffic Anomaly Detector を社内に、Cisco Anomaly Guard をサービスプロバイダーに配置することも可能です（表 2）。

表 2 Cisco Guard 構成オプションの比較

構成オプション	長所	短所
社内	IT 部門が詳細な制御を行うことができるサービスプロバイダーがマネージドサービスを提供していない場合は、このオプションのみ利用可能	DDoS 攻撃を受けた場合には不正トラフィックと正常なトラフィックの両方に対応しなければならないため、サービスプロバイダーと接続するリンク容量を十分に確保しておく必要がある IT スタッフは 24 時間体制で対応する必要がある
マネージドサービス：Cisco Traffic Anomaly Detector をカスタマー側装置として配置	データセンターの帯域幅やリソースに加えて、サービスプロバイダーリンクも保護される IT 部門が自社のトラフィックを監視できるサービスプロバイダーのサポートを 24 時間体制で受けることができる	プロバイダーの設備とデータセンターの Cisco Traffic Anomaly Detector モジュールが情報をやり取りするため複雑度が高い
マネージドサービス：Cisco Traffic Anomaly Detector をサービスプロバイダーのアクセスポイント（POP）に配置	データセンターの帯域幅やリソースに加えて、サービスプロバイダーリンクも保護されるサービスプロバイダーのサポートを 24 時間体制で受けることができる POP とデータセンターの Cisco Guard コンポーネント間で情報をやり取りする必要がない	Cisco Traffic Anomaly Detector が社外にあるため、IT 部門はトラフィックを監視できない

社内に配置する場合の考慮事項とベストプラクティス

Cisco Guard ソリューションをデータセンターに配置する企業では、通常、インターネットからのトラフィックが最初に通過する Cisco Catalyst 6500 シリーズスイッチに Cisco Anomaly Guard と Cisco Traffic Anomaly Detector の両方を搭載します。

Cisco Guard で上流のリンクを保護できるのは、Cisco Guard をサービスプロバイダーネットワークに配置した場合だけです。そのため IT 部門では、データセンターとサービスプロバイダー間のリンクに DDoS 攻撃に耐えられるだけの十分な容量があることを確認したうえで、Cisco Guard ソリューションを社内に配置することを決定する必要があります。通常、サービスプロバイダーとのリンクは帯域幅が小さく、DDoS 攻撃の影響を受けやすくなっています。たとえば、多くの Fortune 500 企業は複数の DS-3 リンク（45 Mbps）を使用して 200 Mbps のリンクを構成していますが、このようなリンクは、サブギガビットからマルチギガビットレベルの DDoS 攻撃によって短時間のうちに飽和状態になったり、ダウンしたりする可能性があります。シスコは社内に配置する場合のリンク容量として最低 500 Mbps（できれば 1 GB）を推奨しています。ただし、ビジネスニーズによっては、サービスプロバイダーとのリンクは低容量で十分だと判断される場合もあります。

社内に配置する場合に推奨されるその他のベストプラクティスは、次のとおりです。

着信帯域幅要件を判断する際には、サービス停止による業務上のリスクを考慮します。DDoS 攻撃が利用可能な帯域幅を超えなければ、Cisco Anomaly Guard は正常なトラフィックをすべて通過させます。DDoS 攻撃が利用可能な帯域幅を超えた場合は、Cisco Anomaly Guard は輻輳状態のリンクを通過したトラフィックのみをクリーニングしますが、このトラフィックには正規のトラフィックがまったく（あるいは、ほとんど）含まれていない可能性があります。このような場合、Cisco Anomaly Guard による DDoS 攻撃のクリーニングは実効性が低くなります。
Cisco Anomaly Guard にトラフィックを迂回させる上流のデバイスが DDoS 攻撃の膨大なトラフィックに対応できることを確認します。Cisco Catalyst 6500 シリーズスイッチまたは Cisco 7600 シリーズルータを使用します。Cisco 7200 シリーズルータを使用することはできません。
Cisco Anomaly Guard をできるだけエッジに近い場所に配置します。保護されるのは Anomaly Guard の内側だけなので、DDoS 攻撃によるトラフィックを廃棄する Anomaly Guard をできるだけ上流に配置して、ファイアウォール、IPS、スイッチ、ルータなどのネットワークインフラストラクチャコンポーネントが飽和状態になるのを防止します。

マネージドサービス：ネットワーク内での DDoS の緩和

一部のサービスプロバイダーは、インターネット接続サービスを補完するために DDoS 防御を行うマネージドサービスを提供しています。マネージドサービスでは、Cisco Anomaly Guard はサービスプロバイダーのネットワーク内で不正なトラフィックのクリーニングを行います。サービスプロバイダーは Arbor 社の Peakflow ソフトウェアを使用してルータからの Cisco NetFlow トラフィックを分析します。不正なトラフィックを検出すると、Arbor 社の Peakflow システムは問題のあるトラフィックを Cisco Guard にリダイレクトします。Cisco Guard はこの不正なトラフィックをクリーニングし、安全なトラフィックのみを所定の宛先に転送します（図 2）。

図 2 マネージドサービス：Cisco NetFlow、Arbor Peakflow、および Cisco Guard を使用
※ 画像をクリックすると、大きく表示されます。

マネージドサービス：Cisco Traffic Anomaly Detector をカスタマー側に配置

多くのサービスプロバイダーは、企業が大規模な DDoS 攻撃に耐えるだけの帯域幅を持たず、また、企業のクリティカルなリソースに対する攻撃の検出を詳細に制御したいと考えていることを認識しています。サービスプロバイダーまたは企業は Cisco Anomaly Detector を企業の社内に設置して、企業のリソースに向けて送信されるトラフィックの監視と分析を行うことができます。攻撃を検出すると、Cisco Anomaly Detector は問題のあるトラフィックストリームをサービスプロバイダー側に設置されている Cisco Guard にリダイレクトします。Cisco Guard は不正なトラフィックを除去した後に、正常なトラフィックを企業のリソースに転送します（図 3）。

図 3 マネージドサービス：Cisco Traffic Anomaly Detector をカスタマー側に配置
※ 画像をクリックすると、大きく表示されます。

DDoS 攻撃の発信の防止

ウイルス、ワーム、スパイウェアなどの不正プログラムは、デスクトップやサーバに感染して社外に不正なトラフィックを送信する場合があります。多くの場合、ユーザは自分のデスクトップやサーバが攻撃に利用されていることに気づきません。DDoS 攻撃の発信源になったとしても収益面での損失を受けるわけではありませんが、企業の信頼性が問われる問題でもあるため、IT 部門は相当の注意を持ってこのような状態を回避する必要があります。

シスコシステムズは、企業が気づかないうちに DDoS 攻撃の発信源になるのを防止する各種テクノロジーをネットワークのさまざまなレベルで提供しています。たとえば、サブネットで Cisco IDS を使用すると、IDS デバイスの下流での DDoS 攻撃の脅威（DDoS 攻撃の発信を含む）を緩和できます。

同様に、Cisco Security Agent は不正プログラムがデスクトップやサーバにインストールされるのを防ぐことができます。不正プログラムの一種であるゾンビプログラムがコンピュータに感染すると、感染したコンピュータは社外への DDoS 攻撃に関与させられてしまいます。また、別の不正プログラムであるスパイウェアがコンピュータに感染すると、感染したコンピュータは DoS 攻撃を受けた場合と同じようにスローダウンして使えなくなってしまいます。Cisco Security Agent は、あらゆるタイプの不正プログラムがユーザの明示的な許可なしにデスクトップにインストールされるのを防止します。

運用計画の策定

ここでは、Cisco Guard ソリューションを導入する前に IT 部門が検討すべき考慮事項について説明します。

管理上の考慮事項

セキュリティ管理は、企業がネットワークや重要なリソースに対する脅威を検出および防御するうえで重要な役割を担っています。実効性の高いセキュリティ管理を実現するには、すべてのセキュリティソリューションの状態を分かりやすく表示し、情報の収集と分析をリアルタイムで実行して、脅威を速やかに緩和するための対応策を提供する必要があります。Cisco Security Monitoring, Analysis and Response System（CS-MARS）は、ホスト、ネットワークデバイス、ファイアウォール、および IPS デバイスからセキュリティインシデントに関する情報を集計します。CS-MARS は NetFlow などの複数のソースから受け取ったアラートやログをリアルタイムで相関分析することによって不正な動作を特定するため、迅速な確認と対応を行うことができます。

CS-MARS は、検出したネットワークデバイストポロジとデバイスのコンフィギュレーション情報を利用して、攻撃の発信源を MAC アドレス、ワークステーション、ユーザ名などのレベルで把握し、攻撃の発信源から攻撃対象までのすべての経路を表示します。CS-MARS のダッシュボードには優先度の高いインシデントがダイナミックに表示され、ドリルダウン式の詳細な調査を行うことができます。オペレータはボタンを操作するだけで、インシデントの識別、調査、排除、および対処を容易に行うことができます。CS-MARS では、ネットワーク攻撃の対象箇所、企業ネットワークの構成、優先度の高いインシデント（攻撃経路の詳細表示と再生が可能）、およびすべてのインシデント情報（関連するルール、イベントの生データ、およびインシデントを発行する原因となった相関分析情報）などを表示できます。集計されるインシデントは、一般的な攻撃の既知の手順、企業独自の監視項目、既存および未知のワームが引き起こすネットワークの異常動作、およびネットワーク管理上の問題といった広い範囲に及びます。

攻撃時におけるルータ動作の確保

ルータの被害は直接的な攻撃による被害と間接的な被害があります。DDoS 攻撃を受けてルータに障害が発生すると、Web サーバ、DNS サーバ、または E メールサーバは、技術的に利用可能な状態であるにもかかわらずユーザからアクセスできなくなります。そのため IT 部門では、Cisco Guard ソリューションの保護対象であるサービスに関わるルータの保護には、特別な注意を払う必要があります。

次の対策を事前に講じておくと、DDoS 攻撃を受けた場合でもネットワークインフラストラクチャの機能を維持できます。

攻撃を受けやすい場所に適切なルータを配置します。Supervisor Engine 720 を搭載した Cisco Catalyst 6500 シリーズスイッチおよび Cisco 7600 シリーズルータでは、ハードウェアベースのレートリミットが利用できます。
コントロールプレーンポリシング機能を使用して、送信元、送信先、プロトコルなどに応じた受け入れ可能なトラフィックタイプのポリシーに基づいてコントロールプレーンを保護します。コントロールプレーンポリシングは、DDoS 攻撃時に処理リソースの枯渇を招かないようにハードウェアで実行します。
ベストプラクティスを利用してエンドツーエンドで確実な防御を実現します。

Cisco Anomaly Guard および Cisco Traffic Anomaly Detector でのゾーンの定義

まず、保護対象のエンティティ（サーバ、その他のホスト、ルータインターフェイス、およびファイアウォールインターフェイスの宛先 IP アドレス）を定義します。次に、類似した動作を示す宛先およびエンティティで構成されるゾーンを作成します。企業で多くの帯域幅を使用する場合や使用する帯域幅が変動する場合は、機能ごとにエンティティを分類します（すべての Web サーバを 1 つのグループとして分類するなど）。総帯域幅の少ない企業の場合は、Web サーバ、E メールサーバ、DNS サーバなどの異質なエンティティを、使用する帯域幅が同程度のもの同士でグループ化することができます（「10 ～ 100 Mbps」、「100 Mbps 以上」など）。グループ内のエンティティの動作が似ているほど、異常な動作の検出は容易になります。1 つのゾーンには 1 ～ 100 の宛先 IP アドレスを登録できます。

パケット処理能力のプランニング

Cisco Anomaly Guard は 64 バイトパケットを毎秒 100 万個まで処理できます。非常に大きな帯域幅を必要とする企業の場合は、Cisco Express Forwarding（CEF）ベースの負荷分散機能を使用して最大 8 つの Cisco Anomaly Guard でクラスタを構成できます。この構成を利用すると、最大 8 Mpps/8 Gbps でゾーントラフィックを処理できます。

ゾーンキャパシティのプランニング

Cisco Anomaly Guard は最大 500 のゾーンを収容できます。同時に保護できるのは、このうち 30 のゾーンです。必要な数の Cisco Anomaly Guard を導入してください。

ゾーンのベースラインポリシーの変更頻度の決定

各ゾーンでは正常動作を定義したベースラインポリシーが使用されます。企業はこのポリシーを定期的に見直す必要があります。変更の頻度は、次の 2 つの要因に基づいて判断します。

トラフィック動作の変動 - トラフィック動作が週単位または月単位で変動する企業は、その頻度に合わせて学習を再度実行することを検討する必要があります。トラフィック動作が一定の場合は、頻繁に変更する必要はありません。
新規アプリケーションの追加 - 新規アプリケーションを導入した場合、IT 部門は Cisco Traffic Anomaly Detector が異常なアプリケーション動作を識別できるように、通常のアプリケーション動作を 24 時間から 1 週間かけてキャプチャする必要があります。

IT 部門がベースラインポリシーを変更する際には、ゾーンを学習モードにするか、またはしきい値を手動で調整します。手動調整を行うのは、原則として、攻撃元が Cisco Anomaly Guard の対抗手段に応じて DDoS 攻撃を頻繁に変更してくるような場合に限られます。

アクセス制御および変更管理の実施

TACACS+ の Authentication, Authorization, Accounting（AAA; 認証、許可、アカウンティング）機能を使用して、Cisco Guard ソリューションのアクセス制御を実施します。TACACS+ では監査証跡（各ユーザが実行する操作の記録）を作成することもできます。

まとめ

DDoS 攻撃の脅威が多くの企業に広がるにつれて、主要な収益源や企業イメージを保護するための効果的な対策がますます重要になっています。IPS のような従来の DDoS 緩和ソリューションは個々の設備の防御には有効ですが、上流の帯域幅を保護することができないため、「保護されている」サーバにアクセスできなくなる場合があります。Cisco Guard ソリューションは、重要なビジネスサービスを保護するための最前線に位置し、サーバだけでなく上流のネットワークインフラストラクチャおよび帯域幅も保護します。Cisco Guard ソリューションを Cisco Security Agent や Cisco IPS などのシスコ自己防衛型ネットワークソリューションと組み合わせて使用すると、企業は各ソリューションを単体で使用するよりもはるかに効果的な多層防御を実現できます。

シスコの DDoS 緩和ソリューションの詳細については、次の URL を参照してください。
http://www.cisco.com/jp/solution/netsol/security/ddos/

Hierarchical Navigation

DDoS 攻撃の防止