DDOS対策装置の仕組み

今回はDDOS対策装置を使ったセキュリティについて書きます。
動作が面白かったのと今後対策していかなければいけない事なのでまとめます。

DDOS対策装置とは

 DDOS対策装置が何をするのか。
1行で表すと
 "パケットを検査して不正と判断したパケットのみをDROPします"

 DDOS対策装置と言ってますが、これは個人的に言ってるだけで。
 軽減装置とか呼び方は色々あるみたいです。

知ってる限りでは下記3ベンダーの製品があります。
Arbor Networks Peakflow
PeakFlow製品紹介
Radware DefencePro
DefencePro製品紹介
NSFOCUS ADS
ADS製品紹介

DDOS対策装置の構成

 一般的にインライン構成とアウトオブパス構成があります。
インライン構成

f:id:kashigeru:20131119091354j:plain

インラインは複雑な構成を組まなくても良い点がメリットです。
既に動いている構成に導入する場合は止める必要があるとか、
DDOS対策装置がボトルネックになるといった部分がデメリットではあります。

アウトオブパス構成

f:id:kashigeru:20131119091355j:plain

アウトオプパス構成は既存の構成に影響なくオンラインで導入できます。
全てのパケットを通す必要がないのでボトルネックにもならない。
ただ構成する機器が増えるので少し複雑にはなります。

今回はアウトアプバス構成での動作を説明します。

構成図

A.A.A.A/32に対して攻撃をかけている事とします。
当然、攻撃以外に通常ユーザーもA.A.A.A/32にアクセスしてきます。

f:id:kashigeru:20131119091356j:plain

①CE_routerのWAN側IFのInboundトラフィックをxFlowで収集しFlowコレクタへ
②Flowコレクタで不正なパケットの閾値を設定し、それを超過するトラフィックがないか監視
閾値を超過したパケットをDDOS対策装置に検査させる為、BGPでルートを挿入

CE_routerのルーティングテーブル

O A.A.A.0/24 via FW  
B A.A.A.A/32 via DDOS対策装置 ←このルートが挿入される 

④検査したいパケット(宛先A.A.A.A/32)がDDOS対策装置へ
⑤DDOS対策装置でトラフィック検査
対策装置での検査方法はTCP SYN Authentication等、複数あります。
動作は各社に問い合わせて下さい。フィルタを知ることでセキュリティの勉強にもなります。
⑥検査にPassしたトラフィック(通常ユーザーのパケット)のみCE_routerへ戻る。
⑦CE_routerはDDOS対策装置から戻ってきたパケットをPBRでFWへ転送
(A.A.A.A/32がDDOS対策装置へ向いているため)
今回はCE_routerでPBRをしましたがDDOS対策装置からFWへGREを張ったり出来るみたいです。

まとめ

かなりいい値段するのでコストメリットを見出せるかが鍵だと思います。
ソフトウェア提供にしてもっと安くしてほしいという思いも。
専用のチップ使ってるみたいなので汎用機ではパフォーマンスが出ないかもしれませんが。
各社にコンタクトをとれば検証機を貸してくれると思います。
セキュリティの勉強にもなるので一度どうぞ。

最後にいつも参考にしてるセキュリティのサイトを紹介します。
エフセキュアブログ
hackmageddon
DDoS Attacks

広告を非表示にする