【2016/3/3 講演録(3)】SSDP攻撃とは、一般的なDDoS攻撃対策の問題点、CDNだからこそできるDDoS攻撃対策の形

本記事は、2016年3月3日に開催されたイベント「Security Days Tokyo 2016」にてCDNetworksが行なった講演「CDNだからこそできるクラウド型DDoS防御と標的型攻撃への対応策~実録データから読み取る2015年の攻撃トレンドとDDoS攻撃トラフィックレポート」の内容を全4回にわたりブログ化したものです。

第1回
第2回
第3回(本記事)
第4回

また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。

 

SSDP攻撃とは

前回の記事では最近のトレンドとして、増幅型攻撃、なかでもSSDP攻撃が増えていると紹介しました。ではSSDP攻撃とはどんな仕組みの攻撃なのか、簡単にご説明します。

SSDPとは、Simple Service Discovery Protocolの略で、UPnP(Universal Plug and Play)の中で使われるプロトコルです。UPnPは、接続するだけで自動的に各種設定を実施し、機器をネットワークに参加できるようにするもので、家庭内のPCやルータ、プリンタといった機器でも多く使われています。

家庭内で使われている機器の中には脆弱性対策がとられていないものも多く、世界中にSSDPの踏み台にできる機器が大量に存在しています。これは攻撃者にとって非常に都合が良い状態です。

 

4683_01

 

また、SSDPの大きな特長の一つに、要求パケットに比べて応答パケットのサイズが非常に大きくなるというものがあります。以下のキャプチャを見ると、パケットサイズは約30倍に増幅していることがわかります。こうした背景から、実際に攻撃を発生しやすく、大きなトラフィックを発生させることができるため、SSDP攻撃が増えているものと考えられます。

 

4683_02

 

一般的なDDoS対策の問題点、CDNだからこそできるDDoS攻撃対策の形

これまで行なわれてきた一般的なDDoS攻撃対策には、以下のような方法があります。
・ウェブサーバを増やしてロードバランサを置き、物理的にトラフィックを分散させる
・通信キャリアのDDoS攻撃対策サービスを利用する
・ウェブサーバの手前で攻撃を止めるIPSなどのアプライアンスを導入する
いずれの方法でも、契約している回線の帯域や導入した機器の許容量を超えてしまえば、それ以上対策の施しようがありません。これまでのDDoS攻撃対策にはこうした「解決できない課題」が存在していました。

 

4683_03

 

ここで力になれるのが、CDNです。CDNは、世界中にサーバを分散配置し、アクセスしようとするエンドユーザ一人ひとりに対してネットワーク的に最も近いサーバを選んでコンテンツを配信しています。これをDDoS攻撃防御に応用すると、CDNのサーバを、攻撃者に最も近いところで攻撃を防ぐ壁とすることができます。そうすることでウェブサーバや契約している回線にトラフィックが流れず、許容量を超えることはなくなります。大規模なDDoS攻撃を受けても、攻撃トラフィックをCDNが物理的に排除するため、正常なユー からのリクエストも継続して受け付けることができます。

 

4683_04

 

この「CDNだからこそできるDDoS攻撃対策の形」を利用して実際に攻撃を防いだ事例を、次回の記事でいくつか紹介します。

 

CDNetworksだからこそできるDDoS攻撃対策とWAF

クラウド・セキュリティは、増加し続けるウェブセキュリティの脅威に対応する、CDNetworksのセキュリティソリューションです。クラウドベースのインフラによって、CDNサービスとセキュリティサービスを統合的に提供します。クラウド・セキュリティは、「クラウド・セキュリティ DDoS」と「クラウド・セキュリティ WAF」の二つのサービスで、お客様のウェブサイトを高パフォーマンスでセキュアに保ちます。

サービスページ
>> クラウド・セキュリティ
>> クラウド・セキュリティ DDoS
>> クラウド・セキュリティ WAF

 

本記事の講演資料は以下よりダウンロードしていただけます。
講演資料ダウンロード「CDNだからこそできるクラウド型DDoS防御と標的型攻撃への対応策」
また、DDoS攻撃の最新情報をまとめたホワイトペーパーは以下よりダウンロードしていただけます。
ホワイトペーパー「2016年度版 DDoS攻撃の動向と今後の見通し」