GRE(Generic Routing Encapsulation)を利用したDDoS攻撃対策

GRE(Generic Routing Encapsulation)を利用したDDoS攻撃対策

現在のDDoS攻撃対策とは

DDoS攻撃(分散型サービス妨害攻撃)などの外部からのサイバー攻撃に対抗するために、既存のITサービス設備には、攻撃の影響範囲を最小化するためのさまざまな対策が組まれています。その中でも主要な対策方法として、以下のようなものがあります。

■ 主なDDoS攻撃対策とその弱点
1. アプライアンスによるDDoS攻撃対策
2. ISP型のDDoS攻撃対策
3. CDNを利用したクラウド型のDDoS攻撃対策

しかしながら、各対策にも弱点があります。例えば、下記のようなものです。

1. アプライアンスによるDDoS攻撃対策

数十Gbpsや百Gbps級のアプライアンスの許容量を超えるような大規模攻撃発生時には、対応が困難になったり、導入および運用コストが非常に高額になります。

クラウド型で低コスト

2. ISP型のDDoS攻撃対策

運用に関する人的コストは前述のアプライアンスよりは低額ですが、従量課金プランなど契約中のISP回線の状況やDDoS攻撃の規模などで、継続的な運用コストが膨らみがちです。

DDoSプロテクションサービス概要

参照:https://www.ntt.com/business/services/network/global-ip-network/gin/transit/ddos.html

3. CDNを利用したクラウド型DDoS攻撃対策

前述のアプライアンスやISP型の弱点をカバーできるお勧めのDDoS攻撃対策です。

クラウド型で低コスト

しかしながら、この対策にも弱点はあります。CDNサービスを利用していない場合やオンプレミス利用中の場合には、その対応には限界があるという点です。そこで今回紹介したいのがGRE(Generic Routing Encapsulation)を利用したDDoS攻撃を防御する仕組みです。

参考情報:CDNetworksのクラウド型DDoS攻撃対策サービス「フラッド・シールド」サービスについてはこちら

GREを利用したDDoS攻撃緩和の具体例

一般的に知られているDDoS対策では防御することのできなかった攻撃を、このGREの仕組みを利用することで緩和できるかもしれません。

これは、従来のWebサイトやオンプレミスネットワークデータセンターで、GREトンネルを利用してDDoS攻撃を緩和させる仕組みで、貴社のネットワーク上でGREトンネルが使用されている場合に、BGP(Border Gateway Protocol )ルーティングを利用したDDoS攻撃に対し簡単に対処することができます。

では、実際の適用例で解説していきましょう。

1. サービス導入前

DDoSトラフィックによりネットワークにボトルネックが発生 → ボトルネックが原因で通常のユーザも接続不可に → ファイアウォールやサーバに過負荷が発生

2. サービス導入時

CDNベンダーが提供するクラウド型DDoS攻撃対策サービスを導入

①お客さま ↔ CDNベンダー間のGRE構成
②AS、IP関連情報設定
③お客さまトラフィックの監視

3. サービス導入後

DDoSトラフィック発生 → お客さまに向かう通常のトラフィックとDDoSトラフィックはCDNのプラットフォームを経由して通信

もちろん、GREを利用したDDoS攻撃緩和にはいくつかの条件とお客様からの協力が必要です。

それは以下の通りです。

● 使用中ISPの情報確認、通常トラフィック容量
● お客様のBGP関連情報の確認(AS、IPアドレス、コミュニティ)
● 詳細IP情報の確認(IP帯域)
● GRE構成(お客さま ↔ CDNベンダー)
● Cleanトラフィック導入方法を確認
● トリガー方式の協議
● 監視方法の協議
● サービス、トラフィック特異点を確認
● X-Forwarded-For、ファーミンク、MTU、フラグメント、プロトコルなど

GREを利用したDDoS攻撃対策はまだ少数派

お客の状況に柔軟に対応するGREを利用したDDoS攻撃対策は、攻撃を止めるために尽くす手がもう無いといったお客さまにとり、最後の砦となり得る技術です。しかしながら、運用に手がかかる上に、運用コストも高額になりがちという点で、本格的にサービスを提供しているベンダーはまだまだ少なく、これを利用しているお客さまも少数派です。

CDNetworksは、お客様に最良のサービスを提供するために、GREのような高度なソリューションへの技術的な見地を広げる活動にも積極的に取り組んでいます。DDoS攻撃対策の導入をご検討の際には、ぜひ一度CDNetworksまでご相談下さい。

CDNetworksのクラウド型DDoS攻撃対策「フラッド・シールド」

フラッド・シールドは、大容量の配信キャパシティとネットワークを世界中に展開している弊社だからこそ実現できるクラウド型のDDoS攻撃対策サービスです。昨今発生しているDDoS攻撃のほぼすべてに対応し、ネットワークレイヤ3/4のすべての攻撃のほか、アプリケーションレイヤ7の攻撃にも対応します。

大規模攻撃の発生時には、CDNのプラットフォームが攻撃トラフィックを吸収し、正常なトラフィックは通常配信するため、お客さまはサービス停止などの被害を受けることがほとんどなく、Webサイトの可用性、高速性、安定性を維持いただけます。

CDNサービス利用中のお客さまがWebのDDoS攻撃対策として、またはクラウド・セキュリティのみ導入を検討中のお客さまでも、営業担当が貴社に最適なプランをご提案させていただきますので、ぜひお気軽にご相談下さい。

なお、CDNetworksではフラッド・シールドをご利用いただいているお客様データを集めてまとめたDDoS攻撃の動向と今後の見通しについてレポートを提供しています。是非ご覧ください。

cta-sp-35

なお、弊社では、Web会議(30分ほど)でのサービス紹介も承っております。
ご興味、ご関心のあるお客様は、お気軽にお問い合わせフォームよりお申し付けください。

==================================
■お問い合わせはこちら >>お問い合わせフォーム
■関連資料のダウンロードはこちら >> 資料ダウンロード
==================================

株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)