1.DDoS攻撃について
1.1 DDoS攻撃とは
・DoS(Denial of Services)攻撃は、Services(サービス)のDenial(拒否)という意味で、サーバなどを攻撃してサービスを提供できないようにすることです。
・DDoS攻撃のDはDistributed(分布させた)という意味です。よって、言葉のとおり、複数に分布された攻撃マシンから一斉にDoS攻撃を行います。
・原始的なDoS攻撃の方法として、キーボードのF5キーを連打するF5アタックがあります。F5キーは、Webページをリロードします。このF5キー連打を大人数でやれば、立派なDoS攻撃になります。実際、F5アタックによる大規模なDDoS攻撃も行われました。
・DDoS攻撃の方法ですが、多くの場合は、攻撃者のコントロール配下にあるボットネットを使います。攻撃者がC&Cサーバを通じて攻撃命令を出すと、ボット端末が攻撃対象のサーバに対して、一斉にDDoS攻撃を仕掛けます。
1.2 昨今のDDoS攻撃について
・インターネットで流れるパケットは、10億~20億程度なのであるが、秒間20億パケットというとんでもないDDoSが確認された。これだと、サーバのリソースをダウンさせるというより、回線を埋め尽くすので、単一ネットワーク(サーバや企業単位)で防ぐことは不可能。
・最近では、アフリカからの攻撃が多い。実際にアフリカから攻撃があるわけではなく、セキュリティレベルが低いサーバが多いので、踏み台にされている。
・最近はSlow系のDoS攻撃が減っている。
・HTTP/2のRapid Reset AttackのDDoS攻撃が増えています。HTTP/2のRapid Reset は、HTTP/2プロトコルの欠陥で、サーバのリソースに大規模な負担をかけることができる。
・身代金要求型のDDoS攻撃も増えている。
・生成AIを使った攻撃も増えている。ヘッダをランダム化して、同じPCから同じパケットを送っているのではなく、複数台のPCからの自然なパケットに見せるようにしている。
・IPv4、IPv6の、どちらもDDoS攻撃を受ける可能性がある。しかし、現在においてはIPv4での攻撃がほどんどであろう。
1.3 DDoS攻撃のニュース
2025年の年始近辺でのDDoS攻撃のニュースです。年末年始にかけて国内の通信や金融、交通など、国民生活を行う上で欠かすことの出来ない重要サービスに対するDDoS攻撃が続いている。これらの一連のDDoS攻撃に対して犯行声明が出ておらず、誰が、何の目的で攻撃を仕掛けているのか不穏な動きが続いている。
| 社名 | いつ | 範囲 | 被害 | 参考 |
|---|---|---|---|---|
| NTTドコモ | 2025年1月2日(木曜)午前5時27分頃から | gooサービス全般、OCNトップページ、dメニューニュース、leminoの検索機能、d払いショッピング検索機能、GOLF me | ・gooサービスの一部が利用しづらい ・OCN WEBメールが利用しづらい(ソフトウェアでの送受信は可能) ・d払いの決済サービスが午前10時50分から午前11時08分に利用しづらい |
詳細 |
| JAL | 12月26日7時24分~13時20分 | 手荷物預かりシステム | 国内線60便、国際線11便の計71便が30分以上の遅れ(最大4時間2分遅れ)、4便が欠航 | 詳細 |
| みずほ銀行 | 12月31日午前7時~10時 | みずほダイレクト、みずほe-ビジネスサイト | ネットワークバンキングへのアクセスが困難 | 詳細 |
| 三菱UFJ銀行 | 12月26日午後3時~28日朝 1月9日 |
リダイレクト、ビズステーション 他行との送金やATM利用(預金、為替システム障害) |
生体認証によるログインがしにくくなった 数万規模の送金滞留 |
詳細1 詳細2 |
| りそなHD | 12月29日午後9時ごろ~30日午前1時ごろ | インターネットバンキング、個人向けバンキングアプリ | ログインおよびアプリの利用が不可能 | 詳細 |
| 日本気象協会 | 1月5日、9日、15日 | 天気予報専門メディア「tenki.jp」(Web版、アプリ版) | Webサイトやアプリ内のコンテンツが閲覧しづらくなった | 詳細1 詳細2 |
・一部では、CDNを導入していてもDDoS攻撃でサービスが利用できなくなっている。某社の場合、DNSは国内のプロバイダのサービス、Webサーバは海外のCDNサービスを利用していたが、それでもDDoS攻撃でもサービスが利用できなくなっていた。※どのサービスを利用しているかは、DNSを引くとわかります。
1.4 DDoS攻撃の種類
・攻撃手法は、大きく2つの攻撃に分けられる。
❶ネットワークへの負荷
帯域を埋め尽くすほどのパケットを送ってネットワークに負荷をかける攻撃。量的攻撃という言われ方をすることがあります。
❷サーバリソースへの負荷
セッションを大量に張るなどによりサーバリソースに負荷をかける攻撃。アプリケーションのセッション数が上限に達するようにするなど、少ないパケットでポイントを絞って攻撃をする。
・具体的な攻撃名称
| 攻撃名 | 対象 | 概要 |
|---|---|---|
| UDPフラッド | サーバーやネットワーク機器 | 公開Webサーバ,DNSサーバを攻撃対象に,偽の送信元IPアドレスとランダムな宛先UDPデータグラムを大量に送りつける。(情報処理安全確保支援士試験R6春問2より) |
| SYNフラッド | サーバーの接続リソース | TCP接続のSYNリクエストを大量に送信し、接続リソースを枯渇させる攻撃。 |
| ICMPフラッド | ネットワーク機器やサーバー | ICMPエコーリクエスト(ping)を大量に送信し、帯域や処理能力を圧迫する攻撃。 |
| HTTP GETフラッド | Webサーバー | 大量のHTTP GETリクエストを送信し、Webサーバーのリソース(CPUやメモリ)を消耗させる攻撃。 |
| DNSリフレクション | サーバー | 偽DNSアンプやDNSリフレクタ攻撃と呼ぶこともあります。送信元IPアドレスを偽装した問合せをDNSサーバに送り,DNSサーバからの応答を攻撃対象のサーバに送信させる手法です。名前のとおり,踏み台DNSサーバを反射板(リフレクタ)のように使って,攻撃対象のサーバに宛ててパケットを反射させます。 |
| Slow系のDoS攻撃 | Webサーバ | たとえば、Slowlorisと呼ばれるツールを使い、HTTPリクエストを小規模に送り続け、Webサーバのリソースを枯渇させる。パケットの量はそれほど多くないので、DDoS攻撃として検知されにくいことがある。ただ、Webサーバの種類や対策状況によっては、うまく攻撃が成り立たないこともある |
| DNS水責め攻撃 | DNSサーバー | ランダムサブドメイン攻撃とも言われる。 https://jprs.jp/glossary/index.php?ID=0137 DNSの問い合わせで、ランダムなサブドメインを付加します。ランダムなので、キャッシュが効きません。よって、毎回、キャッシュDNSサーバおよびコンテンツDNSサーバに問合せるので、大量に問合せれば、サーバのリソースが無くなります。ランダムサブドメイン攻撃は、攻撃と通常の問い合わせの判断が難しく、対策がやや困難です。★送信元IPアドレスで止めれば? |
| 絨毯爆撃(じゅうたんばくげき)攻撃 | サーバーやネットワーク機器かな | Carpet-Bombing。少量のパケットを広範囲から攻撃する方法なので、DDoS攻撃のしきい値設定をくぐりぬける |
1.5 TCP/IPの復習
(1)3wayハンドシェーク
TCPでは,通信の信頼性を高めるために,3ウェイハンドシェイクという方式でコネクション(通信の接続)を確立します。具体的には,SYN,SYN+ACK,ACKの三つのパケットを順に送り,両者で同期をとって通信を開始します。SYNはSYNchronize(同期する)から来ており,通信相手と通信を同期しながら確立するためのパケットです。ACKはACKnowledgement(了承する)から来ており,通信を受け取ったことを了承することを通知するパケットです。
以下は,PCからサーバに接続(例えば,Webサーバのページを閲覧)した場合に必ず行われる3ウェイハンドシェイクの流れです。
(2)IPアドレス偽装
TCPは送信元IPアドレスの偽装はできず、UDPはできます。TCPができないのは、送信元IPアドレスが偽装されていると、3wayハンドシェークが正常に行えないからです。
1.6 cloudflare社のレポート
cloudflare社の2024年第2四半期DDoS脅威レポートから、主だったところを抜粋します。
(1)DDoS攻撃の種類
「400万件のDDoS攻撃は、220万件のネットワーク層DDoS攻撃と180万件のHTTP DDoS攻撃で構成」
この中で、攻撃を以下に分類している。
| 攻撃 | ネットワーク層DDoS攻撃 | HTTP DDoS攻撃 |
|---|---|---|
| 攻撃例 | ・UDP Flood 攻撃(DNSフラッド等) ・SYN Flood攻撃 ・DNSアンプ(DNSリフレクション)攻撃 ・ICMP Flood攻撃 など |
・HTTP GET Flood攻撃 ・その他、HTTPプロトコルを使った攻撃 |
| 割合 | 「DNSフラッド攻撃とDNSアンプ攻撃の合計は37%」、「SYNフラッドが23%」、「RSTフラッドが10%強」 |
(2)攻撃者
「回答者の75%が、攻撃アクターの正体または攻撃理由が分からない」
「正体や理由を知っていると答えた回答者のうち、59%が自社を攻撃したのは競合企業」「21%は(中略)不満を抱いた顧客やユーザー」「17%は国家レベルまたは国家が支援する脅威アクター」
(3)攻撃期間
「HTTP DDoS攻撃の57%以上、ネットワーク層DDoS攻撃の88%以上が10分以内に終了」
「HTTP DDoS攻撃の約4分の1が1時間以上、ほぼ5分の1が1日以上続いている」
「ネットワーク層のDDoS攻撃が3時間以上続いたのは、わずか1%」
(4)DDoS攻撃サイズ
「ほとんどのDDoS攻撃は比較的小規模」
「ネットワーク層DDoS攻撃の95%以上が毎秒500メガビット以下、86%が毎秒50,000パケット以下にとどまっています」
2.DDoSの対策について
2.1 対策の方法
DDoS攻撃への対策は、以下があると思います。
❶サーバの前に、DDoS対策のアプライアンス製品を設置する
❷UTMやルータにてトラフィックシェーピングやDDoS対策を有効にする →5節で解説
❸ISPが提供するDDoS防御サービスを契約する
❹クラウド上にサーバを構築しているのであれば、クラウドのDDoS対策サービスを利用する。 →2.4で解説
たとえば、AWSの場合、Amazon Shield。簡易なものは無料版。CloudFrontなどを使う有料版もある。注意点はトラフィック課金なので、非常に高額になる場合がある。
❺CDNサービスを利用する
❻DDoS対策のサービスを利用する
クラウドWAF等のサービスとして提供されている場合もあります。
❼サーバやネットワーク機器、回線帯域のスペックを増強する
➑何もしない(リスク受容)
攻撃者もコストと稼働がかかるので、ずっと攻撃することは不可能です。
2.2 DDoSのアプライアンスでの対策
(1)概要および構成の説明
・製品として、Arborなどが有名。Arborは、Netscout Systemsが買収したため、NETSCOUT Arborとして販売されている。
・FWやUTMの前段(インターネット側)に、DDoS対策のアプライアンス機器を設置する。
・Arborは、企業のサーバの前に設置することもあれば、プロバイダ内で利用されることも多い。
以下は、NetScout(旧Arbor)のDDoS対策の機能概要です。装置としては、3つあります。
| 項番 | 製品 | 内容 | 対象 | 対象となる攻撃 |
|---|---|---|---|---|
| 1 | Sightline | 主に量的攻撃を検知します。 | キャリア向け | 主に量的攻撃 |
| 2 | TMS | 主に量的攻撃を緩和します。 | キャリア向け | 主に量的攻撃 |
| 3 | AED | エッジでのDDoS攻撃の防御です。TMSは量的攻撃は防げるが、アプリケーション攻撃は抜けてしまいます。 | キャリアおよび企業向け | 主にアプリケーション攻撃 |
https://www.toyo.co.jp/slc/products/detail/netscout_arbor/sightline_tms/
・AEDを設置する場合、インラインで配置します。1台構成でも可能ですし、2台でActive-Stanbyにするのが潤沢な構成です。1台の場合、フェールオープン機能により、障害が発生しても通信断を防げます。
・素朴な疑問
| Q.DDoS対策機がDDoS攻撃でダウンすることはないのか? |
→A.ステートレスでパケットをチェックするので、セッションの上限などになるなどがなく、この装置がDDoS攻撃でダウンすることはかなり低い。
・AEDは、サーバのリソース消費させるアプリケーション攻撃への対策が中心です。量的攻撃にはArborCloudの契約が必要で、AEDで検知して、ArborCloudに通知します。とはいえ、量的攻撃ってそんなに来ない。ISPやCDNでもある程度止まっているので、量的攻撃をどこまで対策するかは企業さんの考え方次第かと。
・ArborCloudというクラウドサービスの中身は、TMSが並んでいると考えればいいでしょう。
(2)アプライアンス機器のメリット
・クラウドサービスのDDoSは、回線を埋め尽くす場合には非常に有効である。しかし、実際には、ふつうの企業にそんな攻撃がくることはめったにありません。ISPでも自動でブロックすることも多い。
・オンプレメリットは、何といってもチューニングができること。たとえば、指定アドレスグループごとに、お客様任意の設定(しきい値等も含め)を実施可能。
例:監視するだけ、積極的にブロック、ギリギリまでブロックしない、など
・攻撃種類によっては、クラウドサービス系がうまく起動しない場合もある。BGPのコンバージェンスも3分くらいかかり、攻撃者は送信元IPアドレスを変えてくるので、その隙を突かれることもある。
(3)アプライアンス機器での対策の限界
・先に述べたように、回線を埋め尽くすDDoSの場合、単一のアプライアンスでどうこうなる話ではない(※回線が埋め尽くされることはめったにありませんが・・・)
・DDoS対策機そのものがDDoS攻撃でダウンする可能性もあるので、ある程度のスペックを用意する必要がある
・DDoS対策機の故障に備え、冗長化またはフェールオープンなどの仕組みが必要
2.3 AWS Shield
(1)概要
・DDoS攻撃の対処で、デフォルトで有効化されている。
・UDP リフレクション攻撃や TCP SYN フラッド攻撃などの DDoS 攻撃に対して、以下を実現する。
❶監視
❷異常検出
❸緩和
・ CloudFrontとAmazon Route53では、geographic restrictions(地理的制限)ができるので、攻撃が行われている地域を全停止することができるであろう。
(2)無料版
・無料は、Amazon CloudFrontとAmazon Route53への検知がメインだが、インスタンスのDoSも多少は有効
・無料はL3,L4レベルまで。
(3)有料版 AWS Shield AdvancedAdvanced
・Advancedを使うとL7までできそう。
・AWS Shield Advancedは、無料版に比べて異常検出精度の向上、緩和機能の応答性向上(★どういう意味?)
・月額3000ドルくらいするから非常に高額。
・AWS専属エンジニアが解析してくれる。
・Advancedになると、しきい値のチューニングなどもできる。また、DDoS攻撃によって高額請求になった場合でも、調整をしてもらえるようです。
・参考:AWS Shield Advanced (AWS Black Belt Online Seminar)
https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2024_AWS-Shield-Advanced_0920_v1.pdf
2.4 CDNサービス
・CDN(Contents Delivery Network:コンテンツ配信ネットワーク)は、その名のとおりコンテンツを配信するための仕組みです。代表的な提供事業者としてアカマイがあります。世界中にニュースや動画を配信するWebサイトを考えてください。世界中から通信がきた場合,特にサーバのネットワークトラフィックは莫大になると思いませんか? そこで,世界中にコンテンツのコピーを置くのです。そうすれば,負荷が分散されます。
・この仕組みがDDoS対策になります。上記に置いて、アメリカのエッジサーバにDDoS攻撃が来たとします。CDNのサービスがDDoS対策の機能を持っていれば、攻撃の入り口で防御することができます。こうすれば、オリジンサーバもそうですし、他のエッジサーバは無傷でサービスを提供できます。
・AWSの場合、CloudFrontというCDNサービスではある。CDNサービスでは、先のAmazon Shieldが有効になっているはずで、DDoS対策になる。
たとえば、IPA(情報処理推進機構)のDNS情報(www.ipa.go.jp)を問合せると、以下のようにCloudfrontのFQDN(d2aiu9f88m0xez.cloudfront.net)が返ってくる。
・しかし、某社の場合、DNSは国内のプロバイダのサービス、Webサーバは海外のCDNサービスを利用していたが、それでもDDoS攻撃でもサービスが利用できなくなっていた。※どのサービスを利用しているかは、DNSを引くとわかります。攻撃手法の例として、絨毯爆撃(じゅうたんばくげき:Carpet-Bombing)型攻撃があります。少量のパケットを広範囲から攻撃する方法なので、DDoS攻撃のしきい値設定にはひっかからないのです。
2.5 ISPが提供するDDoS防御サービス
NTTコミュニケーションズ:OCN DDoS対策サービス
https://www.ntt.com/business/services/network/internet-connect/ocn-business/security/ddos.html
2.6 DDoS対策のサービスを利用する
・Cloudflareが代表的なサービスです。
・クラウドWAF等のサービスとして提供されている場合もあります。
・クラウドWAFを例にすると、以下のように、DNSサーバにおいて、CNAMEレコードにて、クラウドWAF側に通信を向けます。こうすることで、クラウドWAF側でDDoS対策をしてから通信を流してくれます。
・このとき、本来のWebサーバは、クラウドWAF以外の通信を受け付けないようにします。
2.7 DDoS防御の技術
ごく一部でして、全体像はわかっていません。
(1)SYN Cookie(SYNクッキー)
・DDoS対策のアプライアンス機に搭載されている機能である。DDoS対策機がDDoS攻撃を受ける場合がある。たとえばSYN Floodでメモリが枯渇しないようにするために、この機能がある。
・ネットワークスペシャリスト試験のR1午後Ⅱ問2に、SYNクッキー技術の説明があるので引用する。
・以下のように、DDoS対策装置は、メモリの確保を行わないので、DDoS攻撃を受けづらくなる(※もちろん、攻撃の種類にもよる)。
【過去問引用】  |
(2)RTBH方式
・いわゆるブラックホールルーティング?★
・ネットワークスペシャリスト試験のR6午後Ⅰ問1に、RTBH(Remote Triggered Black Hole Filtering)方式のDDoS遮断の仕組みがあるので引用する。
【過去問引用】  |
・ただし、宛先への通信を全て拒否するので、正常な通信もブロックしてしまう。
(3)BGP Flowspec方式
・最近のルータは、BGP Flowspecに対応しているものが増えている。Arbor Sightlineは、NetFlowの情報をもとに、DDoS攻撃を検知します。そして、BGP Flowspec Automationの機能により、しきい値を超えた場合に、BGP Flowspec方式にてルータのネットワークACLにルールを書きます。
https://www.ntt-at.co.jp/product/arbor-products/
https://www.sojitz-ti.com/solutions_products/network_security/arbor/lab/bgp_flowspec.html
・RTBH方式と違い、送信元IPアドレスやポート番号などでもACLを書けるので、攻撃者の通信のみをブロックすることができる。
・ネットワークスペシャリスト試験のR6午後Ⅰ問1に、BGP Flowspec方式のDDoS遮断の仕組みがあるので引用する。
【過去問引用】 |
3.Cloudflare社のDDoSの対策について
3.1 概要
・インターネットの通信の約20%の通信がCloudflareを通っている。(全世界で230以上の都市に毎秒280テラビットの処理能力を持つネットワークを持ち、全Webサイトの19%にサービスを提供している。出典はこちら)
・イメージとしては、インターネットに巨大なDMZを作るようにして、規模を大きくしたうえで、入り口で防ぐ。
・保有する500拠点のDCは全て高いセキュリティレベルを保っている
・L7では、WEBサーバをCloudflareに向ける。具体的には、DNSのCNAMEでCloudflareに向けるようにする。nslookupを引くと、Cloudflareに向く。
C:\>nslookup
> set type=A
> www.waseda.jp
(中略)
名前: www.waseda.jp.cdn.cloudflare.net
Addresses: 104.16.225.156
104.16.224.156
104.16.222.156
104.16.221.156
104.16.223.156
Aliases: www.waseda.jp
> set type=CNAME
> www.waseda.jp
(中略)
www.waseda.jp canonical name = www.waseda.jp.cdn.cloudflare.net・L3やL4では、BGPの経路をCloudflareに向けて、攻撃パケットを流す。
・いくらクラウドフレアのDCといえ、1つだけでDDoS対策を対処しようとすると、つぶされてしまうくらいの大規模な攻撃がくる。なので、DDoSの基本は攻撃者に近い所(基本的には世界中のサーバ)で防御する
3.2 サービスプラン
・Cloudflare社は、DNSやCDNなどを単体提供しているわけではない。
・プランは、以下
https://www.cloudflare.com/ja-jp/plans/
※Free、Pro、Businessは帯域に差はない。Enterpriseは帯域で差が出る。サポートはEnterpriseのみなので、企業向けにはEnterpriseがおすすめ。
※Enterpriseの料金は、個別見積りであって、標準価格的なものはない。料金は対象のドメイン(FQDN)に対して、データの転送量によって変わる。
★安価なProで申し込んで、大量の攻撃が来てもBlockしてくれる?
・無料版でも最低限のDDoS対策が行えます。★具体的にどんなこと? ただし、無料プランの場合、DNSをCloudflareに移行する必要あり。有料プランの場合、DNSはCloudflareを使わなくてもいい。守りたいWebサーバだけをCloudflareに設定していることも多いであろう。
3.3 L7の対策および設定
(1)導入方法
・Cloudflareのページから、右上の「サインアップ」
https://www.cloudflare.com/ja-jp/
・メールアドレスやパスワードを入力してアカウント登録
・Cloudflare社に連絡して、プランをアップグレード
・DNSサーバの設定変更。DNSサーバを変更したり、DDoS対策をしたいWebサーバのCNAMEレコードとして、Cloudflare社のFQDNを指定する。
(例)nslookupを引くと、Cloudflareに向く。
Indeed社はの情報をDNSで引くと、以下。
> set type=NS > indeed.com (中略) indeed.com nameserver = brit.ns.cloudflare.com indeed.com nameserver = kevin.ns.cloudflare.com brit.ns.cloudflare.com internet address = 108.162.192.78 brit.ns.cloudflare.com internet address = 172.64.32.78
しかし、JALさんやJCBさんは、引いてみましたが、DNSサーバはCloudflareではなかったです。
(2)PC単位での攻撃防御
NAPT環境が多いので、同じ送信元IPであっても、ブロックするものと許可するパケットを分けるべきである。
普通の攻撃の場合、3wayハンドシェークのあとにClientHELLOを送るが、その内容がブラウザによって異なる。これがフィンガープリンティングであるが、そこで同一のPCからなのかを判断できる。しかし、生成AIによって通信のランダマイズ化が行われていて、送信元IPは同じだけど、Client Hello JA3のフィンガープリンティングを変えている。
(3)CDNを使う場合
CDNはオリジンはどこにあってもいい。まあ、当たり前か
3.4 L3やL4での対策および設定
・BGPの経路をCloudflareに向けて、攻撃パケットを落とす。
3.5 設定画面
・クラウドフレアの設定で閾値設定はある?→簡単なものはあるみたい
3.6 注意点
・DNSサーバは、Cloudflare社を使ってもらうことがおすすめ。DNSサーバそのものがダウンする可能性があるからである。
・そのため、DNSサーバを移行する。しかし、TTLおよびキャッシュの保持時間の関係で、サービスが不安定になることがある。DNSは企業におけるインターネットの通信の根幹であり、慎重になるところ。
4.DDoS攻撃のテストツール
・あえて書く必要もないではあろうが、あくまでも自社向けのテストとして使ってください。なので、情報量も少な目にしています。
・このあと、FortiGateを使ったテストをするため、DoS用のツールであるhpig3とSlowlorisを利用した。
・kalilinuxにデフォルトで入っている
・操作方法は、以下が参考記事
https://cyber-security-forensic.com/dos-ddoshping3/#google_vignette
・攻撃例
❶SYNフラッド
sudo hping3 192.168.1.121 -S -p 443 --rand-source -i 100 -c 20000
❷UDPフラッド
sudo hping3 192.168.1.121 -2 --rand-source -i u100 -c 20000
※ICMPフラッドにするには、-2を-1にする
❸Connection Flood(slowloris)
大量のコネクションを確立させ、サーバのメモリを落とす攻撃。
perl slowloris.pl -dns 192.168.1.121
5.UTMにおけるDDoS対策
4.1 FortiGateでのDDoS対策機能
以下の3つの方法がある。
・トラフィックログから、攻撃と思われるIPアドレス(多くは海外)を見つけ、そのIPアドレスをポリシーでブロックする。★ログからトラフィック量は見える?
・ポリシーを設定して、しきい値以上のトラフィックを防御する
・トラフィックシェーピングで、帯域を制御する。DDoS攻撃を止めるのではなく、トラフィックを制限することで、正常な通信を可能にする。
4.2 FortiGateでのDDoS対策の設定
(1)設定方法
❶DoSの設定項目の表示
システム > 表示機能設定 > DoS設定
❷ポリシーの設定
ポリシー&オブジェクト > IPv4 DoSポリシー
「新規作成」からポリシーを作成
(2)結果の確認
・SYNフラッドなどは止めることができるが、Slow系は止めれなかった。
・ログの確認
ログ&レポート > セキュリティイベント > アンチウイルス を アノマリ に変更。
4.3 FortiGateでのトラフィックシェーピングの設定
(1)概要
・トラフィックシェーピングによって、帯域を制限する。
IPアドレスごとにトラフィックシェーピングができる。
https://terraconti.jp/fortigate-24-per-ip-traffic-shaper/
・FortiGateはL3レベルまでしかDDoS対策ができないと思われ、L7レベルでやるにはシェーピングが必要かもしれない。
・シェーピングは、アップロードかダウンロードか。回線と埋めつくしてくる攻撃の場合は、基本的にはアップロードであろう。ただ、HTTPのリクエストよりも通常は応答(レスポンス)の方が大きいのでダウンロードでシェーピングするのもありだと思う。
(2)設定方法
ポリシー&オブジェクト > トラフィックシェイピング から
トラフィックシェイパー > 新規作成 でオブジェクトを作成する
タブを切り替え、トラフィックシェイピングポリシーでポリシーを作る
