DNSサービスへの大規模DDoS攻撃を特許取得済みファームウェアで撃退

DNS関連のDDoS攻撃の増加

DNS(Domain Name System)に関連するDDoS(Distributed Denial of Service)攻撃が増加しています。これは、ボットネットを使用した、クエリの反射および増幅による帯域幅占有型の大規模DDoS攻撃によってサーバーを簡単に圧倒できることが、ハクティビストやサイバーテロリストに知られるようになってきたためです。

このような攻撃が成功するとインターネットサービスを利用できなくなります。2015年の大晦日には、BBC.comに対する大規模なDDoS攻撃が実行されました。標的が大企業や組織である場合も、またはホスティングサービスのプロバイダーである場合も、DDoS攻撃はユーザーや顧客の活動を妨げ、利益を失ったりブランドイメージを損ねたりすることも多くあります。さらに、DDoS攻撃の混乱に乗じて、ハッカーはユーザーの認証情報、クレジットカード情報、パスワードを不正使用目的で簡単に取得できます。

フォーティネットは、お客様やパートナーとの連携を通じてDDoS攻撃の減災のために環境のテストを継続的に行っています。このため、DDoS攻撃に対する一般的な対策(ファイアウオール、侵入防止システム、DDoS攻撃対策サービス、専用アプライアンスなど)がDDoS攻撃の高度化に追い付かず、同時にパフォーマンスが大きく低下しかねないことを理解しています。この課題に対応するため、アプライアンスがDNSサービスに対する大規模なDDoS攻撃を撃退できるように、先進的なDDoS攻撃減災テクノロジーを開発しました。

DNSに対する帯域幅占有型の反射/アンプ/アノマリ攻撃のブロック

他社がDNSに関連するDDoS攻撃の減災にソフトウェア中心のアプローチをとっているのに対し、フォーティネットのFortiDDoSアプライアンスはお客様のDNSサーバーを保護するために設計され、フォーティネットだけが可能な高性能の保護機能を提供します。フォーティネットのFortiDDoSアプライアンスはハードウェアロジックを適用し、DNSインフラストラクチャに対する帯域幅占有型の反射攻撃、アンプ攻撃、アノマリ攻撃をブロックします。特許取得済みの新しいハードウェアロジックは、ステートフルフィルタリング、決め細かな振る舞いベースのしきい値、および大容量、高性能、低レイテンシのキャッシュを提供し、攻撃によるDNSサーバーへの過剰な負荷を防止します。

サービスプロバイダの事例:75,000以上のホスティング対象ドメインの可用性と保護の改善

ROMARG社は、ルーマニアのWebホスティングおよびドメイン登録サービスの大手プロバイダーであり、ルーマニア、ヨーロッパ、および米国のクライアント向けに共有ホスティングと専用ホスティングを提供しています。同社は常にDDoS攻撃を受け、攻撃は数時間または数日間続くこともあり、100 Mbpsから10 Gbpsを超える規模のものまであります。自社のクラウドインフラストラクチャを保護するために、ROMARG社はフォーティネットアプライアンスを使用しています。

CEOのRadu Tofan氏は、「FortiDDoSは、当社が提供するサービスへの影響を最小限に抑えて、DDoS攻撃から75,000以上のホスティング対象ドメインを保護する上で役立っています。DNS攻撃を減災するために新しく追加された機能により、DDoS攻撃対策を強化し、お客様に提供するホスティングサービスの可用性を向上できます」と説明しています。

フォーティネット、新しいファームウェアでDNSサービスへのDDoS攻撃に対する保護を強化

フォーティネットのFortiDDoSアプライアンスは、ネットワークレイヤーへのDDoS攻撃、トランスポートレイヤーへのDDoS攻撃、およびアプリケーションレイヤーのHTTPプロトコルへのDDoS攻撃を減災するよう設計されています。新しいファームウェアにより、これらのアプライアンスもDNSサービスへのDDoS攻撃を減災します。新しく特許取得した機能は、下記を含みます。

  • 高性能DNSキャッシュ - アプライアンスはハードウェアロジックに基づくDNSキャッシュを提供し、フラッド状態でもサーバーに代わって高速での応答が可能です。
  • DNSクエリ応答マッチング - 利用可能なオープンDNSリゾルバを介する数百万のボットネットからのDNS反射攻撃を回避します。対応するクエリによって確認される応答のみがアプライアンスで許可されます。
  • 正規クエリのストレージ - ファントムドメインおよびランダムサブドメインを使用するDNS DDoS攻撃を回避します。DNSクエリフラッド発生時には、通常時に確認されたクエリのみが優先されます。
  • レートアノマリ - DNS固有のパラメータにきめ細かなしきい値を設定することにより、アプライアンスはビヘイビアベースのしきい値を学習し、これを使用してアノマリを検出し、攻撃を減災できます。
  • アクセス制御リスト(ACL) - ネットワークおよびセキュリティ管理者は、アプライアンスのパフォーマンスを妨げないDNSプロトコル固有のACLを使用して、望まないトラフィックをブロックできます。
  • ヘッダーアノマリフィルタリング - 変則的なDNSプロトコルヘッダーは、スクリプト化された攻撃を高い割合でドロップします。

FortiDDoSアプライアンスは、FortiASIC-TP2トランザクションプロセッサ最大6個を使用する100%ハードウェアベースのDDoS保護を提供します。最大48 Gbpsのスループットを提供するモデルには、10 GbE SFP+ Ethernetおよびバイパスポートを含む接続オプションがあります。アプライアンスはモデルに応じて、攻撃下で1秒当たり100万~1,200万のDNSクエリを処理するよう設計されています。

これらの新機能とSPP(Service Protection Profile)、IPレピュテーションサービス、ハードウェアACLを使用するBCP-38のサポートなどのFortiDDoSアプライアンスの強力な機能を組み合わせることにより、DNSサービスに対するDDoS攻撃の減災能力が向上します。DNSサービス向けの高度なDDoS保護機能は、FortiDDoS-200B、400B、800B、1000B、1200B、および2000Bアプライアンスで利用できます。

あなたのデータセンターでは、今日のDDoS攻撃対策は万全ですか?

DDoS攻撃テクノロジーの巧妙化に対応して、組織は将来を見越して、ネットワークおよびアプリケーションレベルのサービスを確実に保護するためにプロアクティブな防御対策を講じなければなりません。DNSサービスへの攻撃に対しては、さらなる高レベルのDDoS攻撃対策が必要とされるため、ISPが提供するDDoS攻撃対策だけでは十分ではありません。データセンターが今日のDDoS攻撃対策に対応可能かどうかを確認するには、ホワイトペーパーをダウンロードしてお読みください。DDoS攻撃のタイプと保護対策、そして攻撃の検知と減災対策の検証方法について情報を得ることができます。