web-dev-qa-db-ja.com

ISPはDDoS攻撃をどのように処理できますか?

50 Gbpsのような低帯域幅のISPは、これ以上のDDoS攻撃をどのように処理できますか? 「ブラックホール」と呼ばれる解決策があることを知っています。

  • DDoS攻撃を軽減するのにこれで十分ですか、それとも他のエンタープライズソリューションはありますか?
  • 現在、どのようなDDoS軽減サービスを利用できますか?
  • CDNはDDoS攻撃を軽減できますか?
attacksddosdenial-of-serviceispcdn
59
R1W

いくつかの戦略があり、それぞれに独自のコストと利点があります。いくつかあります(さらにあり、バリエーションがあります)。

ブラックホール

トラフィックをブラックホール化することにより、ターゲットIPアドレスへのすべてのトラフィックを破棄します。通常、ISPはRTBH(リモートトリガーブラックホール)を使用しようとします。これにより、ISPはアップストリームネットワークにトラフィックを破棄するように要求できるため、宛先ネットワークにさえ到達しません。ここでの利点は、ISPのアップリンクが飽和しないことです。ここでの最大の欠点は、攻撃者が望んでいることを正確に実行することです。つまり、ターゲットIPアドレス(つまり、その上で実行されているサービス)はオフラインです。ただし、残りのISPの顧客は攻撃の被害を受けることはなく、コストは低くなります。

選択的ブラックホール

インターネット全体のIPアドレスをブラックホール化する代わりに、対象のアドレス範囲のBGPルーティングを変更して、インターネットの一部のみに到達できるようにすることが役立つ場合があります。これは通常「 選択的ブラックホール 」と呼ばれ、多くの大きなキャリアによって実装されています。多くのインターネットサービスは、特定の地域(通常は国または大陸)でのみ利用可能である必要があるという考え方です。たとえば、選択的ブラックホールを使用すると、攻撃を受けているオランダのISPは、中国からのトラフィックに対してIP範囲をブラックホール化することを選択できますが、ヨーロッパのIPはターゲットのアドレスに到達できます。この手法は、攻撃トラフィックが通常のトラフィックとは非常に異なるソースからのものである場合に非常にうまく機能します。

スクラブ

より優れたソリューションは、通常はサービスとしてISPのネットワークの外部でホストされるスクラブセンターを使用することです。 DDoS攻撃を受けると、ISPはそのIP範囲のトラフィックをスクラブセンターにリダイレクトします。スクラビングセンターには、不要なトラフィックをフィルタリングする機器があり、ISPにルーティングされる(ほとんど)クリーンなトラフィックのストリームが残ります。ターゲットIPのサービスは引き続き利用できるため、ブラックホール化と比較してこれはより良いソリューションです。欠点は、ほとんどの洗浄センターが商業的であり、かなりの費用がかかる可能性があることです。また、スクラブは必ずしも簡単ではなく、誤検知(不要なトラフィックがフィルタリングされない)と誤検知(不要なトラフィックがフィルタリングされない)の両方が発生する可能性があります。

交通工学

ISPネットワークは通常、交通機関やインターネット交換ポイントを経由してインターネットに接続します。これらの接続とISPのバックボーン内のリンクを作成することにより、ネットワークは通常のトラフィックパターンに必要なものよりもはるかに大きくなり、DDoS攻撃に対処できます。ただし、未使用の帯域幅容量はコストがかかるため(たとえば、100 Gbpsの機器とアップストリーム接続への投資は非常に高価であり、数Gbpsしか実行していない場合はコスト効率が悪いため)、これには通常、問題が発生するだけです。ネットワーク内のどこかに:より小さな容量のスイッチ、ルーター、またはサーバーがあり、それがチョークポイントになります。

一部の攻撃では、ISPが着信トラフィックのバランスをとることができるため、すべての外部接続がフラッディングされるわけではなく、1つまたはいくつかのみが飽和状態になります。

大規模なネットワーク内では、攻撃を受けているIP範囲のトラフィックのみを引き寄せる「シンクホール」ルーターを作成することが可能です。他のすべてのIP範囲へのトラフィックは、他のルーターを介してルーティングされます。このように、ISPは、シンクホールルーターでのみBGPのターゲットIP範囲をアナウンスし、他のルーターでのそのIP範囲のアナウンスを停止することにより、DDoSをある程度分離できます。インターネットからその宛先へのトラフィックは、そのルーターを強制的に通過します。これにより、シンクホールルーターのすべてのアップリンクが飽和する可能性がありますが、他のルーターのアップリンクはフラッディングされず、他のIP範囲は影響を受けません。

ここでの大きな欠点は、ターゲットIPが存在する範囲全体(少なくとも/ 24)がこれに影響を受ける可能性があることです。このソリューションは、多くの場合、最後の手段です。

ローカルフィルタリング

ISPのアップリンクに十分な容量がある場合(飽和しないため)、ローカルフィルタリングを実装できます。これは、たとえば次のようなさまざまな方法で実行できます。

  • 送信元アドレスや宛先ポートなどの特性でトラフィックを拒否するルーターにアクセスリストを追加する。攻撃の送信元IPアドレスの数が制限されている場合、これは効率的に機能します
  • トラフィックレートリミッターを実装して、ターゲットIPアドレスへのトラフィック量を削減する
  • 不要なトラフィックをフィルタリングするローカルスクラブボックスを介してトラフィックをルーティングする
  • 実装 BGPFlowspec 、ルーターがBGPを使用して交換フィルタールールを実装できるようにします(例:「IPアドレスXからIPアドレスYへのすべてのトラフィックを拒否プロトコルUDPソースポート123」)

コンテンツ配信ネットワークと負荷分散

Webホスティング事業者は、コンテンツ配信ネットワーク(CDN)を使用してWebサイトをホストできます。 CDNはグローバルな負荷分散を使用しているため、世界中に膨大な帯域幅とキャッシュサーバークラスターがあり、ウェブサイトを完全に停止することは困難です。 DDoSが原因で1セットのサーバーがダウンした場合、トラフィックは自動的に別のクラスターにリダイレクトされます。多くの大きなCDNもスクラビングサービスとして動作します。

やや小規模ではありますが、ローカルロードバランシングを導入できます。その場合、サーバーのプールを使用して、WebサイトまたはWebアプリケーションをホストできます。トラフィックはロードバランサーによってそのプール内のサーバーに分散されるため、DDoS攻撃に耐えるのに役立つ可能性のあるサーバー容量が増加します。

もちろん、CDNと負荷分散はホスティングに対してのみ機能し、アクセスISPに対しては機能しません。

86
Teun Vink

良い質問です!

プロダクションにデプロイされたWebアプリケーションの実用的なシナリオのコンテキストから話してみましょう。それは、application-layerは、依然として管理可能な巨大なネットワーク層攻撃によって結合されています。

確かに、ISPはDDoS攻撃を処理できますが、やはり全体的な設定とリソース、インフラストラクチャに依存しています。

ケーススタディ-

ですから、最初に、私のクライアントの1人が最近彼のWebアプリケーションに対するDDoS攻撃に直面したので、この質問に答えることができて光栄に思います。軽減するのは非常に難しいようです理由を尋ねる

「アプリケーション層のDDoS攻撃」smart攻撃者はレート制限されていない特定のエンドポイントではなく、異なるリソースをターゲットにしていました

ご想像のとおり、この命題からの重要なポイントは、強力な[〜#〜] cdnを実装するだけではありませんでした[〜#〜]だけでなく、それらを改善するために-

  1. 負荷分散
  2. 適切なNginx(またはその他のサーバー)サーバー構成を介してレート制限を実装します。このレート制限にも、いくつかのサブセットがあります。ステルスを最適化してアプリケーションを防御するための考慮に基づく攻撃に基づく構成の例。大きな負荷を処理するアプリケーションにとって本当に理想的なものであるnginxレート制限についての詳細を読むために、ドキュメントを自由に読んでください。
  3. Akamai CDNを使用します。これは、特に巨大なユーザーベースがあり、リアルタイムでサービスを提供する必要がある場合に、この点で非常に効率的で強力であると考えられています。
  4. 攻撃のピーク状態で、ユーザーが2つのリクエストを送信した後、アプリケーション内のほぼすべてのフィールドにcaptchaを実装します。ウェブ全体で最も人気のあるアプリケーションはRecaptchaとRecaptchaもブロックします[〜#〜] tor [〜#〜]exit-nodesおよびproxies(これらは、攻撃者が1つのTOR回路から次のTOR回路にジャンプしたり、別のプロキシを私たちの場合、悪意のあるトラフィックの一部は非常に匿名化されたTORネットワークから送信されているように見えるため、これはプラスです。
  5. そして最後に、レート制限を回避できないようにアプリケーションロジックを変更する必要がありました。

[〜#〜] isp [〜#〜]レイヤーで制御できるのはネットワークレイヤー攻撃のみですユーザーに悪影響を与えることなく欠点もあります。したがって、ブラックホール化は企業にとって十分ではない可能性があり、その一方で、アプリケーションに重大な問題、使いやすさの問題を引き起こす可能性があります-

良好なトラフィックも影響を受ける場合にブラックホールルーティングを使用することの主な結果は、攻撃者がターゲットネットワークまたはサービスへのトラフィックを妨害するという目標を本質的に達成したことです。悪意のあるアクターが目標を達成するのに役立ちますが、ブラックホールルーティングは、攻撃のターゲットがより大きなネットワークの一部である小さなサイトである場合にも役立ちます。その場合、ターゲットサイトに向けられたトラフィックをブラックホール化することで、攻撃の影響から大規模ネットワークを保護できます。

これは、この点に関してCloudflareが言わなければならないことです。したがって、ブラックホール化は基本的にネットワークトラフィックをルーティングしてドロップします。しかし、複数のIPサブネットを利用するアプリケーション層またはより深い層の攻撃についてはどうでしょうか?これらの場合、従来の方法は失敗し、アプリケーションの主要な脆弱性を調査して見つける必要があります。これは、Cloudflareを使用しているにもかかわらず、内部サーバーIPまたは脆弱なエンドポイントを開示しているという事実である可能性があります。 Cloudflareも失敗します

1
A Khan