|
|
|
|
 |
Guard は迂回してきたトラフィックを分析し、フィルタリングによって悪質なパケットを廃棄して合法的なものだけを転送する。Guard はそれを遂行するために、フローを“洗浄 (scrub) ”する Multi-Verification Process (MVP) と名付けた特許申請中のユニークな技術を使っている。この浄化プロセスには 5つのモジュールがある。
■パケットフィルタリング (Packet filtering) :静的および動的双方の DDoS フィルタが、重要ではないトラフィックがターゲットに到達する前に遮断する。静的フィルタはユーザーが構成できるが、出荷時にデフォルト値が設定されている。動的フィルタは観察したふるまいと詳細なフロー分析に基づいて別のモジュールによって挿入されるもので、リアルタイムのアップデートで検証レベルを上げたり、識別された悪質なソースやフローを遮断したりすることができる。
■アクティブ・ベリフィケーション (Active verification) :システムに入るパケットの合法性を検証することで、有効なパケットを廃棄してしまうリスクを排除する。ところが、進化した DDoS 攻撃は合法的な IP ソースアドレスを使ってくるので、このステップで遮断できるのは旧型の攻撃だけとなる。その合法的なアドレスからのフローは保留状態にし、異常認知モジュールに転送してさらに分析を深める。
■異常認知 (Anomaly recognition) :静的フィルタやアクティブ・ベリフィケーションで止められなかったトラフィックを監視し、基準のふるまいパターンと比較して、正常な運用時に見られる合法的なソースのパターンとの乖離を調べる。この段階で攻撃のソースとタイプを識別して悪質なトラフィックを遮断、あるいはさらに詳細な分析を行う動的フィルタをインストールするガイドラインをパケットフィルタリングモジュールに提供する。
■プロトコル分析 (Protocol analysis) :異常認知モジュールが識別した不審なフローを処理し、アプリケーション別の攻撃を調べる。不完全なトランザクションやエラーを含め、変則的なふるまいをするプロトコルのトランザクションを検知する。
■レート制限 (Rate limiting) :これはオプション機能であり、変則的なふるまいをするフローがターゲットを圧倒するのを避けるために、フローごとのトラフィックシェーピングを行うと同時にさらに細かい監視をする。
|
|
|
合法的なフローは Guard が検証した後でターゲットに転送され、攻撃中もサービスの継続性が維持されている。この最終ステップこそが Cisco Guard が他のどの DDoS 緩和の技術や製品とも異なる特長を築いている点である。
