DDoS攻撃/DoS攻撃の検知に必要な運用とは
DDoS(Distributed Denial of Service attack)攻撃やDoS(Denial of Service attack)攻撃は、主にWebサーバーなどの標的となるサーバーに対してネットワークを介して大量のトラフィックを送り付けることでそのサーバーに大きな負荷を与え、ダウンさせることを目的とした攻撃です。
例えば、同じ時間にWebサイトに大量のアクセスを行うと、そのサイトが置かれたWebサーバーはサイト表示のために多量のリクエストを処理することになります。DDoS攻撃やDoS攻撃に遭ったWebサイトにアクセスできなくなる理由は、Webサーバーが多量のリクエストの処理に耐えきれずにダウンしてしまった状態になるためです。
実際の事例として、2016年の大規模なDDoS攻撃では、マルウェアにより数十万台におよぶ脆弱なIoT機器が乗っ取られ、アメリカのDNSサービス業者への攻撃が行われました。これによりDNSサーバーがダウンし、そのサーバーを利用していたTwitterやSpotifyなど世界中の著名なサービスが約6時間ダウンする被害が発生しました。
DDoS攻撃/DoS攻撃による被害を防ぐには?
近年では、通常のユーザーによる正規のリクエストとの見分けが付けにくいトラフィックによる攻撃なども増加しています。攻撃手法の多様化により、DDoS攻撃/DoS攻撃から完全にサイトやサーバーを守る方法は存在しないと言えます。しかし、適切な対処方法を取ることで攻撃に遭った場合の被害を抑えることが可能です。
DDoS攻撃/DoS攻撃を検知して被害を最小限に抑えるための手法は、例えば以下のものが挙げられます。
- 特定IPアドレスからのアクセスを遮断
- WAF・UTM・IDS/IPS等を導入
- ネットワークトラフィックの監視システムを導入
例えばネットワークトラフィックの監視システムを導入してDDoS攻撃/DoS攻撃を検知する場合、普段と比較して異常な量の通信がネットワークで流れていることがリアルタイムにわかれば、素早くDDoS攻撃/DoS攻撃を疑うことができます。その際、その通信の送信元IPアドレスやアプリケーション、プロトコルを確認し、攻撃か否かを判断する必要があります。
したがって、DDoS/DoS攻撃を検知するには、ネットワークトラフィックを迅速に分析し可視化できる運用体制にしておく必要があります。
DDoS攻撃/DoS攻撃の振る舞いも手軽に検知できるツール
ManageEngineが提供するNetFlow Analyzerは、運用に乗せやすいシンプルで分かりやすい管理画面が特長のNetFlow・sFlowに対応したトラフィック解析ツールです。DDoS攻撃やDoS攻撃と考えられる通信の振る舞いを検知するセキュリティ分析機能も搭載しています。具体的には、NetFlow Analyzerが受信したフローデータのIPアドレスやサブネットマスク、ペイロードの容量、プロトコル、ポート情報などを参照し、例えばポート/ホストスキャン、SYN/ICMPフラッド攻撃やTCP/SYNスキャン、Smurf攻撃などのDDoS/DoS攻撃を検知します。
※セキュリティ分析は、NetFlow Analyzer Enterprise Edition限定機能です。Editionによる機能の違いはEdition比較ページをご参照ください。
NetFlow Analyzer Enterprise Editionのセキュリティ分析機能は、ネットワークフローを基にしてセキュリティ分析や異常検知を行います。ManageEngineが開発した技術である「Continuous Stream Mining Engine」を使用してネットワークへの不正侵入を検出・分類し、外部/内部の広範囲のセキュリティの脅威にリアルタイムで検知・発報することで、継続的なネットワークセキュリティの総合的な判断を可能にします。
NetFlow Analyzerでは、問題としてグループ化された脅威/異常を一覧表示します。さらに、問題を3クラスに分類します(無効な送信元/宛先、DDoS、疑わしいフロー)。問題の分類に利用されているクラス一式は、問題分類カテゴリー(英語)ページをご参照ください。円グラフと線グラフによって、ネットワークセキュリティの全体像を一目で把握することができます。ネットワーク管理者はNetFlow Analyzerのフロー解析情報をドリルダウンで表示し、より詳細なネットワークの分析ができます。
導入メリット
- 中央集中型エージェントレストラフィックデータ収集、分析、管理
- 外部/内部のセキュリティ脅威/不正侵入/異常を検知
- 継続的な総合セキュリティ監視
- セキュリティ評価/トラフィックポリシープランニングの実現
- リアルタイムな詳細フローベースでのセキュリティ監視
- 低負荷な非同期並行型データ処理
- 柔軟な条件設定が可能なセキュリティプロファイル
NetFlow Analyzerのセキュリティ分析機能
セキュリティイベント詳細
送信元/宛先IPやネットワークアドレス、アプリケーション、TCPフラッグ、プロトコルなど、問題の詳細フィールドを表示します。このレポートは、ワンクリックでPDF/CSV形式で出力、メールで送付することができます。