Webアプリケーションとサーバー インフラストラクチャをDDoS攻撃から保護することは、オンラインプレゼンスを持つ組織にとってもはや選択肢ではなくなりました。 DDoS for-hire サービスの出現により、攻撃を実行できる者のハードルが事実上下がり、すべての Web エンティティが潜在的なターゲットになりました。
DDoS 攻撃が成功すると、既存の顧客関係にダメージを与えるだけでなく、組織の評判に悪影響を及ぼします。 重大な経済的損失は、大企業では 1 時間あたり 40,000 ドルにもなります。 小規模な企業では、数万ドルの損害に直面する可能性があり、より長期の、無視できない攻撃は、ビジネスを終了させるイベントになる可能性があります。
大きく分けて、DDoS 攻撃を停止するには、いくつかのアプローチがあります。 最も一般的なソリューションは、DIY (do-it-yourself) 法、オンプレミスの軽減アプライアンス、およびオフプレミスのクラウドベースのソリューションに依存します。
それぞれに利点がありますが、DDoS を阻止する全体的な効果は、多くの要因に基づきます。 これらの要素には、スケーラビリティやフィルタリング機能、コスト、統合の容易さ、さらに使いやすさやホスティングの互換性などがあります。
Do It Yourself | On-Premise | Off-Japan | Do It Yourself | On-Premise7024プレミス | |
CAPEX | なし | 高い | 中程度 | ||
OPEX | 最小 | 高 | 中 | ||
展開方法 | オンデマンド | On オンデマンド | オンデマンド /常時 |
||
緩和までの時間 | 重要 | 重要中程度 /なし |
|||
拡張性 | 制限あり | 事実上無制限 | フィルタリング | 限定的 | 有意的 |
使いやすさ | 複雑 | 中程度 | 非常に簡単 | ||
統合 | 複雑 | 中程度Easy | |||
Compatible with hosting options |
Anything |
DIY protection
DIY protection は DDoS 軽減に対する弱いアプローチと広く考えられています。 実用的には、静的なトラフィックしきい値の設定 (mod_evasive の使用など) と無差別な IP ブラックリスト ルールに依存しています。 DIY ソリューションの主な欠点は、しばしば事後的な対策として採用されることです。 ほとんどの場合、最初の攻撃の波が襲ってきた後に、設定が手動で調整されます。 そのようなソリューションでは、将来の同様の攻撃を阻止できるかもしれませんが、最初の波が成功すれば、通常は数時間のダウンタイムやその他の問題を引き起こすのに十分です。 このため、組織は防御的な立場に置かれ、追加の設定を繰り返し展開し、同時に複数のダウンタイム イベントから回復しようとしなければなりません。
しかし、DIY アプローチの本当の問題は、常にネットワーク帯域幅に制約されることであり、ネットワーク層の DDoS 攻撃を阻止するために必要なスケーラビリティが著しく制限されることです。
オンプレミス アプライアンス
DDoS 保護のオンプレミス アプローチでは、ネットワーク内部に展開されたハードウェア アプライアンスを使用し、保護対象のサーバーの前に配置します。
こうしたアプライアンスには通常、地域ブロック、速度制限、IP 評価、署名識別を組み合わせて武装した高度なトラフィック フィルタリング機能が備わっています。
しかし、いくつかの要因から、アプライアンスに頼ることは現実的ではありません。
- スケーラビリティは依然として問題です。 大量の DDoS トラフィックを処理するハードウェアの能力は、ネットワークのアップリンクによって制限され、10Gbps (バースト) を超えることはほとんどありません。
- オンプレミスのアプライアンスは、攻撃を停止するために手動で展開する必要があります。 これは、レスポンスとミティゲーションの時間に影響し、セキュリティ境界を確立する前にダウンタイムが発生することがよくあります。
- 最後に、ハードウェアの購入、インストール、および保守にかかるコストは、より低コストで効果的なクラウドベースのオプションと比較すると比較的高くなります。 後者のシナリオでは、ハードウェアは通常、ハイブリッド展開の一部となり、ネットワーク層の攻撃を防御することができるクラウドベースのソリューションによって補完されることになります。 ISP は通常、ネットワーク層の保護のみを提供し、クラウドベースのソリューションは、アプリケーション層の攻撃を阻止するために必要な追加のフィルタリング機能を提供します。 どちらもネットワークの外に展開され、先に述べたアップリンクの制限に縛られないため、事実上無限のスケーラビリティを提供します。
一般に、オフプレミスのミティゲーション ソリューションはマネージド サービスです。 DIY ソリューションやオンプレミス ハードウェアで必要とされる、セキュリティ担当者や維持管理への投資は必要ありません。
オフプレミス・ソリューションは、オンデマンドまたは常時接続サービスとして展開され、市場をリードするほとんどのベンダーが両方のオプションを提供しています。
オンデマンド オプション
BGP再ルーティングによって有効になるオンデマンド オプションは、オリジン サーバやコア ネットワーク インフラの他のコンポーネントを直接狙う攻撃を含むネットワーク層の攻撃を阻止します。 これには、偽のデータ パケットでネットワーク パイプを詰まらせるように設計されたボリューム攻撃である SYN または UDP フラッドが含まれます。
Always-on オプション
always-on オプションは、DNS リダイレクトによって有効化されます。 これは、サーバーリソースを使い果たすために、アプリケーションとのTCP接続を確立しようとするアプリケーション層の攻撃を停止させます。 これには、HTTPフラッド、DNSフラッド、およびさまざまなローアンドスロー攻撃 (例:, Slowlorisなど) .
Imperva DDoS ProtectionがDDoS攻撃にどのように役立つかをご覧ください。
Imperva DDoS protection
Imperva が巨大 HTTP floodを緩和:18万のボットネット IPから69万件の DDoS リクエスト。
Impervaは、クラウドベースの軽減技術の限界を押し広げる、使いやすく費用対効果の高い包括的なDDoS保護を提供します。
オンデマンドと常時接続のソリューション、無限に近い拡張性を提供するグローバルネットワーク、透過的なミティゲーションを実現する受賞歴のあるフィルタリングソリューションの組み合わせにより、ImpervaはあらゆるタイプのDDoS攻撃から顧客を完全に保護します。
Imperva DDoS保護サービスについての詳細は、ここを参照してください。