DDoS対策とは?
DDoS対策とは、標的となるサーバーまたはネットワークを分散型サービス拒否(DDoS)攻撃から保護するプロセスを指します。特別に設計されたネットワーク機器またはクラウドベースの保護サービスを利用することにより、標的となる被害者は襲いかかる脅威を軽減できます。
クラウドベースプロバイダーを利用したDDoS攻撃の対策には4つの段階があります。
- 検出 - 分散攻撃を阻止するには、Webサイトが攻撃を大量の通常のトラフィックと区別できる必要があります。製品のリリースやそのほかの発表により、正当な新規訪問者がWebサイトに押し寄せている場合、絶対にしたくないことは、訪問者に制限をかけたり、Webサイトのコンテンツの閲覧を止めたりすることです。IP Reputation、一般的な攻撃パターン、および以前のデータは、適切な検出に役立ちます。
- 応答 - このステップでは、DDoS保護ネットワークは、悪意のあるボットトラフィックをインテリジェントにドロップし、残りのトラフィックを吸収することにより、特定された着信方向の脅威に応答します。アプリケーション層(L7)攻撃に対してWAFページルールを使用したり、memcachedやNTP増幅などの低レベル(L3 / L4)攻撃に対処するために別のフィルタリングプロセスを利用したりすることで、ネットワークは混乱を招こうとする攻撃を軽減することができます。
- ルーティング -トラフィックをインテリジェントにルーティングすることにより、効果的なDDoS対策ソリューションは、残りのトラフィックを管理可能な単位に分割し、サービス拒否を防止します。
- 適応 - 優れたネットワークは、問題を起こすIPブロックの繰り返し、特定の国からの特定の攻撃、または特定のプロトコルの不適切な使用、といったパターンがないかトラフィックを分析します。攻撃パターンに適応することにより、保護サービスは将来の攻撃に対して防御する機能を強化できます。
DDoS対策サービスの選択
従来のDDoS対策ソリューションは、サイトで稼働して流入トラフィックをフィルタリングする機器の購入が含まれていました。この方法には高価な機器の購入や維持が必要で、攻撃を吸収できるネットワークを持つことに依存しています。DDoS攻撃が十分に大きい場合、ネットワークインフラストラクチャの上流を破壊してあらゆるオンサイトソリューションの効果を妨げることができます。クラウドベースのDDoS対策サービスを購入する際は、特定の特性を評価する必要があります。
- スケーラビリティ - 効果的なソリューションは、成長するビジネスのニーズに適応し、DDoS攻撃の規模の拡大に対応できる必要があります。2 TB/秒(TBPS)を超える攻撃が発生しており、攻撃トラフィックのサイズが減少傾向にあるという兆候はありません。Cloudflareのネットワークは、これまでに発生したDDoS攻撃よりもかなり大きなものに対処できます。
- 柔軟性 - アドホックなポリシーとパターンを作成できるため、Webプロパティは着信方向の脅威にリアルタイムで適応できます。ページルールを実装して、そうした変更をネットワーク全体に挿入できることは、攻撃中にサイトをオンラインの状態に保つための重要な機能です。
- 信頼性 - シートベルトのように、DDoS保護は必要な場合にのみ必要なものですが、その時が来たら確実に機能しなければなりません。DDoSソリューションの信頼性は、保護戦略を成功させるために不可欠です。ネットワークをオンラインの状態に保ち、新しい脅威を特定するために、サービスの稼働率が高いことと、サイト信頼性エンジニアが24時間体制で監視していることを確認してください。冗長性、フェイルオーバー、およびデータセンターの広範なネットワークは、プラットフォーム戦略の中心であるべきです。
- ネットワークサイズ - 特定のプロトコルと攻撃ベクトルは時間とともに変化するため、DDoS攻撃には、インターネット全体で発生するパターンがあります。大規模なデータ転送を行える大規模なネットワークがあることで、DDoS対策プロバイダーは、攻撃を迅速かつ効率的に分析して対応できるので、多くの場合、発生する前に攻撃を阻止できます。Cloudflareのネットワークは、数百万にも及ぶWebサイトのインターネットリクエストを実行しているので、世界中の攻撃トラフィックからのデータを分析することにおいて有利な立場にあります。