DDOS対策装置の攻撃検知方法

以前のエントリでDDOS対策装置の仕組みについて書きました。
DDOS対策装置の仕組み

今回はDDOS対策装置の攻撃検知方法について書こうと思います。
最初聞いた時、こんなことをやっているのかと驚いたのでまとめます。

ほかにも色々と検知方法はあるのですが、今回は下記2つについて。
・SYN Authentication
・HTTP Authentication

SYN Authentication

TCPレベルでの検知方法です。
SYN-FLOODを防ぐことができます。

f:id:kashigeru:20140123183736j:plain

①まずClientからSYNが投げられます。
②投げられたSYNに対してDDOS対策装置がClientに不正なSYN-ACKを返します。
③Clientは不正なSYN-ACKが返ってきたので、RSTを返します。
④DDOS対策装置はRSTが返ってきたらそのClientは通常のアクセスだとみなします。
(返ってこないと攻撃とみなしセッションをクローズ)
⑤ClinetからのSYN再送はサーバまで到達します。

最近の攻撃ツールの中にはRSTを返すものもあるとかないとか。

HTTP Authentication

こちらはHTTPレベルでの検知方法です。

f:id:kashigeru:20140124093213j:plain

3WAY-ハンドシェイクは確立済みです。
①ClientがGETリクエストを投げます。
②ClientからのGETに対してDDOS対策装置がRedirectを返します。
③Clientは指示通りRedirect先にGETリクエストを投げます。
④DDOS対策装置はRedirect先へのGETを確認したらそのClientを通常のアクセスとみなします。 ⑤通常アクセスの場合、DDOS対策装置はclientへ本来の宛先へのRedirectを返します。
⑥ClientからのGETはサーバまで到達します。

こちらの方式はRedirectが入るので少し遅延が発生するのが注意です。

UDPを使った攻撃について

最近、NTPによる攻撃がHOTな話題ですが、UDPを使った攻撃が増加傾向にあるようです。
UDP-based DDoS (DNS, NTP, etc.,) – on the rise?/NSFOCUSブログ

こういうUDPの攻撃に対してDDOS対策装置ではフィンガープリントを使用したり、動的パターンマッチング とか帯域/パケット長の制限で防御出来るみたいです。

DDOS関連について詳しく聞かれたい方は各ベンダーへお問い合わせください。 NSFOCUS(SpecialThanks)
Arbor
Radware

広告を非表示にする