ソリューション

SOLUTION

 >  > Autoプロテクション

Autoプロテクション


サービス概要

高度な振る舞い型攻撃検知機能と世界中全てのTier1プロバイダから収集され続ける攻撃活動をベースに作られ自動更新されるシグネチャの両方をフルに活用した、既知または新しい攻撃手法のどちらにも妥協しない自動検知・防御型のDDoS対策サービスです。

帯域幅の消耗を狙った大量のフラッド攻撃や、Webサイトなどの公開サービスのダウンを狙った標的型攻撃など、標的となるサービスポートや攻撃の種類に関わらず、正常な通信に影響を与えることなく、攻撃トラフィックを検知してからわずか4秒で攻撃トラフィックをフィルタリングします。

また、お客様のニーズに合わせカスタマイズ可能なポータルサイトやレポーティング機能なども併せて提供いたします。

カスタマイズドACLとの違い

カスタマイズドACLが決まったルールに従って、サービスポート以外のポートを狙った攻撃などに対してフィルタリングを行う静的な防御方法です。フラッド型攻撃で頻繁に利用されるUDPポートへの通信などには効果的ですが、ACLルールで予めdenyすると決められた送信元IPアドレスや受信ポート以外や、サービスポートへのSYNフラッドなどのセッションを利用したサーバへの攻撃には対応することができません。

対して、Autoプロテクションは随時更新されるパターンや、実際の通信の動き、またはセッション情報などに基づきフィルタリング要否の判断を行う動的な防御方法です。

DDoS対策 Autoプロテクション

特徴

防御アルゴリズム

DDoS攻撃防御のアルゴリズムは、シグニチャ型と振る舞い型に大きく分けられます。インターナップのAutoプロテクション は、その両方を採用しています。

シグネチャ型の例
シグネチャ(もしくはフィンガープリント)とは、攻撃パケットがもつパターンのことです。このパターンには、以下のようなものが含まれます。
  • IPアドレス及びポート番号、プロトコル、TOS、TCP Flag
  • 既に知られている悪意あるトラフィック情報(レピュテーション情報)
  • 振る舞い型のアルゴリズムが学習したパターン
世界中のTier1プロバイダとインターナップ・ジャパンのネットワークで収集された攻撃パケットのパターンから作られたシグネチャを記憶しておき、同じパターンが来た時には即時検知してブロックします。
インターナップ・ジャパンのAutoプロテクションのシグネチャは最短1時間で自動アップデートされるので、常に最新の世界中のDDoS攻撃の情報をベースにお客様への通信をクリーンに保ちます。
振る舞い型の例
一般的なフラッド攻撃では、攻撃者に乗っ取られたゾンビPCに仕込まれたプログラムによって攻撃トラフィックがねつ造、自動生成され、発信されます。
ねつ造されたトラフィックの振る舞いは、正規のユーザーの振る舞いとは異なります。インターナップのAutoプロテクション は、ユーザーの詳細な振る舞いを分析し、この振る舞いを元に正常なトラフィックを識別、攻撃トラフィックをブロックします。防御は段階的に行います。「RFCに基づいた通信であるか?」という基本的な確認から始め、ホワイトリスト・ブラックリストによる振り分け。続いて高度なアルゴリズムを駆使したレイヤー4フラッド防御、レイヤー7フラッド防御と進みます。
高度なアルゴリズムの一例
インターナップ・ジャパンが防御対象のサーバとクライアント間の通信に介在して、通信に先立ち取り交わされるSYNやACKパケットを代理応答します。特別なパケットを通信元のクライアントに投げ、その応答を見ることでクライアントが乗っ取られたゾンビPCなのか、正規のクライアントなのか識別します。

インターナップ・ジャパンAutoプロテクションの強み

お客様のご要望に応じて、防御アルゴリズムをカスタム可能

Autoプロテクションではお客様ごとに検知閾値・フィルタ条件・自動軽減のOn/Offなどが設定可能です。

お客様専用のポータルサイトをお渡しします

ポータルサイトではお客様が自由に閾値の変更が可能です。もちろん、閾値の設定に関するお問い合わせは、24時間365日受け付けております。

ご利用条件

インターナップ・ジャパンのインターネット接続サービスをご利用のお客様に提供致します。

利用開始までのイメージ

  • 01既存のインターネット接続サービスからの切り替え方法やマルチホーミングのご相談
  • 02防御アルゴリズムの閾値など、攻撃防御のチューニング内容のご相談
  • 03ポータルサイトや、レポーティングなどのカスタマイズについてのご相談
  • 04初期設定依頼

攻撃防御チューニング

「この数値を超えたらDDoS攻撃と判断し、防御アルゴリズムを発動する」という条件値の調整です。設定を誤ると正規のトラフィックまでブロックしてしまうため、DDoS防御運用の要となる作業です。
非常に多岐にわたるため、例を2つ紹介します。

例)ウェブサーバを防御している。ウェブサーバには、平均して100セッション/秒の接続要求がある。これが200セッション/秒の接続要求が発生したら、明らかに何らかの攻撃が行われていると思われる。よって200をしきい値として設定する(説明のために話を簡易化しています。実際は、Packet Per Second、ppsに換算して設定します)。

かつ、防御設定は一度したら終わりでなく、常に見直しを続ける必要があります。

例)オンラインゲーム会社のゲーム配信サーバを防御している。新作ゲームの発売と同時に、トラフィックの増加が見込まれるが、増加数は予測できない。発売初日はしきい値を大き目に設定し、接続数の推移を見る。トラフィックが安定次第、新しいしきい値を設定する。

補足:ゲーム業界では、新作ゲームの発売と同時にライバルゲーム会社からのDDoS攻撃を受けることが多くあります。よって、トラフィック増加数が予測できないからといって、防御を完全に無効化することは危険です。

Q&A

防御を中止する時は
チューニングがどうしてもうまく行かず、正規ユーザーのトラフィックをブロックしてしまう、といった時はインターナップまでご連絡ください。防御サービス自体を停止します。
防御単位
IPアドレス単位で防御します。個々のIPアドレスでも、IPアドレスの範囲でも防御できます。
攻撃発生時の通知
お客様専用のポータルサイトで確認できます。指定したメールアドレスに通知することも可能です。
電話番号03-5209-2222
メールでのお問い合わせ
お問い合わせ
資料ダウンロード
各種お問合せ、お見積もり、資料請求に関するご質問を承っております。まずはお気軽にご連絡ください。