Webサービスに対するDDoS対策

これまで、「ネットワーク」「インフラ」「アプリケーション」レイヤーにおけるDDoS攻撃対策について解説してきました。前回は、特別編として、脅威インテリジェンスの活用を紹介しました。今回も特別編として、Webサービスに対するDDoS対策とその際に陥りがちな盲点を解説します。

CDNによるDDoSスクラビング

第5回では、クラウド型のDDoSスクラビングサービスでネットワーク経路をスクラビング専用のネットワークに迂回させて洗浄する構成を解説しました。一方、ウェブサービスを保護対象としてDDoS対策を検討する場合は、GSLB（広域負荷分散）機能とCDNの技術を活用したスクラビングサービスを採用する選択肢もあります。

CDNプロバイダーはコンテンツがキャッシュされたエッジサーバを複数の地域に用意し、クライアントはDNSの技術を応用したGSLB（広域負荷分散）機能により近くのエッジサーバにアクセスします。

例えば、日本にあるクライアントが、www.xxx.comというWebサイトにアクセスした場合、日本のエッジサーバにアクセスさせるため、jp.xxxxedge.netのように別名または直接エッジサーバのIPを返します。アメリカにあるクライアントがアクセスした場合はus.xxxxedge.net、またはUSのエッジサーバのIPアドレスを返します。

• エッジサーバによるDDoS攻撃の緩和

このエッジサーバでトラフィックを分散して、DDoS攻撃を緩和することで、効率的にオリジナルのWebサービスを保護することができます。ただし、DNSの名前解決でアクセス先を制御するため、オリジナルサーバのIPアドレスで直接アクセスされた場合は効果がありません。つまり、オリジナルサーバのIPを探すことができると攻撃を受けるリスクが増します。

エッジサーバ群の配下のオリジナルIPはDNS上から検索はできませんが、以下のような方法で、インターネットで他の情報をヒントに探し出せる場合もあります。

(1)サブドメインからオリジナルサーバのIPを特定

費用を抑えるためにDDoS対策において特定のサブドメインをスクラビングサービスから除外している場合や、Webサービス以外のサービスのためにオリジナルサーバのIPを直接返す場合があります。

そのオリジナルサーバのIPが、クラウドで保護しているIPアドレスと同じ場合もあります。また、同じIPでなくても、同じネットワークにホストしている場合は標的のネットワークが判明することもあります。別のサブドメインからオリジナルIPが判明し、攻撃に利用されることもありますので、注意が必要です。

サブドメインはgoogleの検索エンジンでも調査可能ですが、専用の検索サイトも多く存在します。

(2)Whoisから特定

Whoisは、IPアドレスやドメインなどの所有者の連絡先情報を登録したデータベースです。IPアドレスを所有している組織の場合、whoisデータベースでtech-c、admin-cなどのIDから検索することで、その組織で所有しているIPアドレスをすべて把握することもでき、さらにその情報から標的のネットワークを特定することも可能です。

(4)DNSヒストリー

インターネット上には過去のDNSのヒストリーをアーカイブしているサイトがあり、そのサイトで検索するとスクラビングサービスを利用する前のオリジナルサーバのIPアドレスが特定される場合があります。もし、オリジナルのIPアドレスが検索にヒットするようでしたら、サイトのIPアドレスを変更することをお薦めします。

WebサービスのDDoS対策で重要となる柔軟なIP経路

Webサービスの場合、オリジナルIPを柔軟に変更できる環境を構築することも重要です。特定のIPアドレスが攻撃された場合に、GSLBのリソース監視により攻撃を受けているグローバルIPアドレスから接続せず、攻撃を受けていないグローバルIPアドレスから接続するように構成し、攻撃に耐えうる環境を構築する方法もあります。

DDoS対策としてインフラを準備するのではなく、事業継続計画の1つとしてDRサイトのリソースを組み合わせて設計することで、費用対効果も高められます。

繰り返しとなりますが、DDoS対策は、保護する対象や環境に応じて適切に設計することが重要です。DDoS対策のクラウドサービスを1つとっても、Webサイトを保護するのか、IPアドレス・ネットワークを保護するのか、対象によって選ぶポイントも変わってきます。さらに、単に対策を講じれば終わりではなく、攻撃者の視点で対策をレビューすることが求められます。