DDoS攻撃に対する神対応と塩対応

シェアする

Voiced by Amazon Polly

今のご時世、DDoS攻撃はサーバーを運用している限り誰でも受け得る危険性があります。
もちろん受けないのがベストですが、個人的な恨みやたまたまの攻撃に巻き込まれることで被害を受ける可能性は0ではありません。

DDoS攻撃を受けた際の対応は事業者によって大きく3つに分かれます。

広告



DDoS攻撃のあらまし

詳細については省きますが、単純に大量のデータを送り付けることによる形態のDDoS攻撃に対抗するには攻撃側以上の帯域が防御側に用意されていなければなりません。帯域が少ない場合、攻撃パケットにより回線が飽和し通信不可能になります。
たとえば、100Gbpsの攻撃が飛んできた場合は100Gbps以上の帯域を用意する必要があります。iptablesやfirewalldによるサーバー側での防御は意味がなく、事業者の協力を得て上位プロバイダでの防御が必要不可欠となります。

従って、相手側の攻撃が大きければそれだけ事業者側の設備にも負荷がかかります。結果として、攻撃対象のサーバーだけではなくサービス全体がダウンする危険性もはらみます。

3種類の対応

境目にあるものもありますが、ここでは事業者の対応を大きく3つに分類します。

塩対応:強制解約を迫る

これは酷い対応に該当するカテゴリーであり、いつでも転出できる準備をしておかない限りは使用を避けるべき事業者です。
具体例を挙げると、GMOクラウドやConoHaが該当します。国外でもそういった事業者はあるため、珍しい対応ではありませんが、説明の都合上具体的な社名を出させていただきます。
参考:DDoS攻撃されたらそこで試合終了!? レンサバから利用停止を宣告される前にできる8つの対策
こういった事業者では、DDoS攻撃を受けた際に自社からの追い出しを優先します。突然外部との通信を遮断し、そのまま事実上の強制解約に持ち込まれることになります。
従って、こうした事業者を使う場合は常にバックアップを取得し続けるとともに、いつでも他の事業者に移動できる準備をしておく必要があります1)通信が遮断されてからは、外部へのバックアップを作成することができません。いうまでもなく、顧客から見た対応としてはよろしくありません。
CloudFlare等のリバースプロキシを導入することで、個人的な恨みによるDDoS攻撃は防止できますが2)ただし、適切にファイアウォールが設定されている場合に限る流れ弾に関しては防御しきれないので注意が必要です。

通常対応:当該IPアドレスに対する通信をしばらく遮断する

この対応はほとんどの事業者で行われており、仮に通信が遮断(Null routing)されても原因が解消すれば継続して利用できる一般的な事業者です。
個人的な恨みでDDoS攻撃を受けている場合はなかなか復旧しないものの、IPアドレスの変更を行う&リバースプロキシの導入を行うことで継続利用自体は行えます。
流れ弾であれば、しばらく経過すれば通信可能な状態に戻ることもあります。
DDoS攻撃を受けた側に対して一時的にサービスが停止されるのは納得いかないかもしれませんが、これは多くの事業者でそのような対応であり、仮にそうしなければ事業者のネットワーク全体が飽和してしまいます。営利企業である以上、一顧客が切り捨てられる場合もあります

神対応:ファイアウォールが常備されており、継続して通信可能

一部の事業者がこのような対応を行っています。DDoS対策機能が標準装備されており、DDoS攻撃を受けている最中でも通常通りのサービス提供を受けることができます。
具体的な社名につきましては、私と個人的な取引を行っている事業者がいくつかあるため伏せさせていただきます。また、攻撃中に攻撃元IPアドレスやポート等の詳細なレポートが送られてくることもあり、攻撃の原因の調査に役立つことがあります。
ただし、このようなサービスはDDoS対策機能がある分割高になる傾向にあります。通常対応となる事業者でも、オプションサービスを使用することで恩恵を受けることができますが、多くの場合とても高価なオプションとなります。
また対策機能があるとはいっても限界はあり、そのような場合はNull routeされることにより結果として通信が遮断されることがあります。

利用規約を読んでおこう

DDoS攻撃への対策に関しては、利用規約に書かれていることがほとんどです。利用規約や約款には対応に関して具体的に記載されていることがほとんどであるため、実際に読んでおくことは重要です。いくら文字が小さくて文章量が多くても、同意して使っている以上「利用規約や約款を読まなかった」は通用しません

References   [ + ]

1. 通信が遮断されてからは、外部へのバックアップを作成することができません
2. ただし、適切にファイアウォールが設定されている場合に限る