« 「NIST SP 800-76-1個人識別情報の検証における生体認証データ仕様(改訂版)」日本語版公開 | トップページ | ネット検索で危険な日本の有名人 »

2009年10月27日 (火)

DDoS攻撃への対応

日経ITproの記事「DDoS攻撃への対応:パート1」「DDoS攻撃への対応:パート2」からです。

DDoS攻撃への対応方法が示されており、大変参考になります。

この記事で紹介されている対応方法とその概要は、以下の通りです。

トレースバック:IPアドレス偽装対策として使う。攻撃源を絞り込める
封じ込め:主な目的は,攻撃の矛先を本来の目標からそらすこと
ネットワークの構成変更:通信経路を変えることでネットワーク構成を変更し,「認証済み」の良性トラフィックと攻撃用トラフィックを分離する。分離精度が高ければ,攻撃トラフィックを廃棄できる
リダイレクション/ブラック・ホール・ルーティング:ブラック・ホールへトラフィックを転送する処理であり,ここではフィルタリングと同じ対策とみなせる
フィルタリング:攻撃トラフィックの検出精度が高く,攻撃を識別できるなら,条件に一致するトラフィックのフィルタリングは有効な対策だ
・通信帯域制限:フラッド攻撃を受けている際に,ネットワーク輻輳(ふくそう)を回避する最初の対策となる。検出精度が低い場合や,攻撃トラフィックと通常のトラフィックを区別するシグネチャが作れない場合に使う
リソース複製:単にリクエストが集中した場合の対応方法であり,DDoS攻撃対策ではない。リクエストに応じるリソースを増やすことで,大量の正当なサービス・リクエストを処理する
正当性テスト:確認テストでクライアントを認証する。インターネットにこのようなテストを行うホストがたくさんあれば,正当なユーザーはリクエストを実行してもらうために「ゲームのルール」を守るようになる
攻撃者のリソース消費:クライアントのリソースを犠牲にしてもらい,クライアントが本当にリクエストを実行したがっているかどうか確かめる。つまり,攻撃用マシンが提示されたパズルを解こうとしなければ,サーバーは正当なトラフィックとDDoS攻撃トラフィックを区別できる可能性がある。仮に攻撃用マシンが攻撃の都度パズルを解くためのリソースを消費すれば,攻撃速度が低下する。なお,このようなパズル・アルゴリズムはインターネットのホストに普及するだろう

|

« 「NIST SP 800-76-1個人識別情報の検証における生体認証データ仕様(改訂版)」日本語版公開 | トップページ | ネット検索で危険な日本の有名人 »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/31924399

この記事へのトラックバック一覧です: DDoS攻撃への対応:

« 「NIST SP 800-76-1個人識別情報の検証における生体認証データ仕様(改訂版)」日本語版公開 | トップページ | ネット検索で危険な日本の有名人 »